Hogyan Biztosíthatom A Levelezőszerveremet? Átfogó útmutató
bejövő e-mail forgalom biztosítása
a levelezőszerver titkosítása és az e-mail forgalom titkosítása valójában két különböző dolog. A biztonságos e-mail szerver titkosítást igényel az átvitel, az e-mailek titkosítása és a mentett e-mailek titkosítása során.
Végfelhasználói oldali titkosítás
a PGP/MIME és az S/MIME két lehetőség az e-mailek végponttól végpontig történő titkosítására. Ez a két lehetőség tanúsítványalapú titkosítást használ az e-mailekhez attól a pillanattól kezdve, hogy azok a végfelhasználói eszközről származnak, amíg meg nem érkeznek a címzett végfelhasználói eszközére..
az S/MIME nyilvános kulcsot vagy aszimmetrikus kriptográfiát, valamint digitális tanúsítványokat használ az e-mailekhez. A tanúsítványok segítenek az e-mail küldőjének hitelesítésében.
hitelesítési adatok titkosítása
az Axigen, mint az egyik vezető e-mail szerver szoftverszolgáltató, CRAM-MD5, DIGEST-MD5 és GSSAPI protokollokat használ az e-mail hitelesítő adatok titkosításához. További információ az Axigen mail server biztonságáról a dedikált oldalunkon.
SMTP benyújtás hitelesítés szükséges a feladó megfelelő azonosításához, valamint annak biztosításához, hogy az e-mail szervere ne váljon nyílt továbbítóvá, amelyet a 3.felek visszaélnek.
az e-mail átvitel közbeni titkosításához a TLS a de facto szabvány. Használható és használható a webmail, az IMAP és bármely más ügyfél-hozzáférési protokoll forgalmának biztosítására.
SMTP szolgáltatások
a Simple Mail Transfer Protocol (vagy SMTP) az a választott protokoll, amelyet a legtöbb e-mail kliens használ üzenetek küldésére egy e-mail szerverre, valamint az e-mail szerverek üzeneteket küldenek / továbbítanak egyik szerverről a másikra a kijelölt felhasználóhoz vezető úton.
itt találhatók a leggyakrabban előforduló biztonsági problémák az e-mailek továbbításakor:
- jogosulatlan hozzáférés az e-mailjeihez és adatszivárgás
- Spam és adathalászat
- Malware
- DoS támadások
az SSL (Secure Sockets Layer) a Netscape által 1995-ben kifejlesztett kriptográfiai protokoll, amely fokozott biztonságot nyújt a hálózati kommunikáció során, és a TLS (Transport Layer) elődje réteg biztonság). Mivel az összes SSL verzió jelenleg sok ismert és kihasználható sebezhetőséggel rendelkezik, már nem ajánlott a termelési használatra. Az átvitel TLS-sel történő biztosítása a jelenlegi de facto szabvány: az ajánlott TLS verziók az 1.1, 1.2 és a legújabb és legbiztonságosabb 1.3.
az SSL/TLS titkosítja az üzeneteket az e-mail kliens és az e-mail szerver között, valamint az e-mail szerverek között. Ha a titkosított SMTP-kommunikációt rosszindulatú harmadik fél rögzíti, akkor ez a fél csak véletlenszerű karaktereket fog látni, amelyek helyettesítik az e-mail tartalmat, ami azt jelenti, hogy a kapcsolatok és az üzenetek adatai továbbra is védettek és olvashatatlanok.
az Axigen támogatja a Perfect Forward Secrecy nevű TLS-kiterjesztést is, amely az egyes kulcsmegállapodási protokollok jellemzője, amely biztosítja, hogy a munkamenet-kulcsok akkor sem kerülnek veszélybe, ha a munkamenet-kulcscserében használt hosszú távú titkok veszélybe kerülnek. Laikus szempontból, ha a szerveren tárolt privát kulcsok elvesznek vagy megsérülnek, a korábban rögzített titkosított SMTP-munkamenetek továbbra is megfejthetetlenek.
az X2 verziótól kezdve az Axigen a Let ‘ s Encrypt szolgáltatást használhatja SSL tanúsítványok létrehozására, amelyek lejárata előtt automatikusan megújulnak.
az X3 — as verziótól kezdve az Axigen lehetővé teszi a tanúsítványkezelést a Webadminból, így lehetővé teszi CERT-ek vagy CSR-ek létrehozását, megújítását vagy törlését, valamint megtekintheti és beállíthatja, hogy az egyes tanúsítványokat hol kell használni-azaz szolgáltatásfigyelő, virtuális gazdagép vagy SMTP-kapcsolatok biztosítása intelligens gazdagépen keresztül történő kézbesítéskor.
További információ az SMTP-szolgáltatások Axigen használatával történő biztonságáról.
a DNSBL és az URIBL
Domain Name System Blacklist (DNSBL) vagy Real-time Blackhole List (rbl) lényegében egy olyan szolgáltatás, amely feketelistát biztosít az ismert domainekről és IP-címekről, amelyek híresek a spam forrásaként. Általában mail szerver szoftver lehet beállítani, hogy ellenőrizze egy vagy több ilyen listák.
a DNSBL inkább egy szoftver mechanizmus, nem pedig egy adott lista. Sokan léteznek, amelyek sokféle kritériumot alkalmaznak, amelyek felsorolhatják vagy nem listázhatják a címet: a spam küldésére használt gépek címeinek felsorolása, az internetszolgáltatók (ISP-k) ismertek a spamküldők fogadására stb.
- a Spamhaus DBL egy olyan szolgáltatás, amely feketelistára domainek találhatók spam üzeneteket, és szerepel, hogy a rossz hírnevét.
- az URIBL szolgáltatás azon tartományok listája, amelyek spam e-maileket küldenek
a DNSBL szerverek feketelistára kerülnek spamküldőként, és amikor egy szervert egyként határoz meg, az ilyen szerverekről érkező e-mailek automatikusan törlődnek.
az Axigen két ilyen szolgáltatást is kínál ügyfeleinek: aDNSBL és aURIBL, ez a kettő prémium IP alapú DNSBL és URIBL listák, amelyeket az Axigen működtet és gondoz, és azokat az Axigen ügyfelek használhatják, akik feliratkoznak ezekre az opcionális szolgáltatásokra.
SPF, DKIM és DMARC
az SPF (Sender Policy Framework) egy DNS TXT bejegyzés, amely tartalmazza azon kiszolgálók listáját, amelyek egy adott tartomány nevében küldhetnek leveleket. Mivel a DNS-bejegyzés lehet tekinteni, mint egy módja annak, hogy érvényesíteni azt a tényt, hogy a bejegyzés lista megbízható a tartomány, mint az egyetlen ember, aki hozzá vagy módosítani, hogy a tartomány zóna a tulajdonosok vagy rendszergazdák a tartomány.
További információ az SPF konfigurálásáról az Axigen szolgáltatásokhoz itt érhető el.
a DKIM (DomainKeys Identified Mail) egy módszer annak ellenőrzésére, hogy az üzenetek tartalma megbízható-e, megmutatva, hogy a tartalom nem módosult attól a pillanattól kezdve, hogy az üzenet elhagyta az eredeti levelezőszervert, egészen addig, amíg el nem érte a rendeltetési helyet. Ez a további konzisztencia réteg egy szabványos nyilvános / privát kulcs aláírási folyamat használatával érhető el. Mint az SPF esetében, a domain tulajdonosai vagy rendszergazdái hozzáadnak egy DNS-rekordot, amely tartalmazza a nyilvános DKIM kulcsot, amelyet a vevők használnak annak ellenőrzésére, hogy az üzenet DKIM aláírása helyes-e, és a dolgok feladó oldalán a kiszolgáló a DNS-rekordban lévő nyilvános kulcsnak megfelelő privát kulcsot fogja használni az e-mailek aláírásához.
További információ a DKIM konfigurálásáról az Axigen szolgáltatásokhoz itt érhető el.
a DMARC (Domain-based Message Authentication, Reporting and Conformance, Domain-based Message Authentication, Reporting and Conformance) egy olyan protokoll, amely SPF és DKIM protokollokat használ annak megállapítására, hogy az e-mail üzenet hiteles-e. Lényegében megkönnyíti az internetszolgáltatók számára, hogy megakadályozzák a rosszindulatú harmadik feleket olyan gyakorlatok végrehajtásában, mint például a domain hamisítása a felhasználók személyes adatainak adathalászatához.
a DMARC világos házirendet állít fel mind az SPF-ről, mind a DKIM-ről, és lehetővé teszi egy cím beállítását, amelyet a szerver által küldött levelekről szóló jelentések küldésére kell használni. Ezt a házirendet minden fogadó kiszolgálónak és ügyfélnek használnia kell.
További információ a DMARC Axigen szolgáltatások konfigurálásáról itt érhető el.
mindezek az eszközök nagymértékben támaszkodnak a DNS – re, és az összes beállítás után a következő módon működnek:
SPF
- a beérkezéskor a HELO üzenetet és a feladó címét a levélkiszolgáló lekéri
- a levélkiszolgáló lekér egy TXT DNS-lekérdezést az üzenetek SPF tartománybejegyzéséhez
- a lekért SPF-beviteli adatokat ezután a küldő szerver ellenőrzéséhez használja
- ha ez az ellenőrzés nem sikerül, az
dkim
- üzenet küldésekor a tartomány infrastruktúrájának utolsó kiszolgálója ellenőrzi a belső beállításait, ha a “From” – ban használt tartomány:”a fejléc valóban szerepel az”aláírási táblában”. Ha ez az ellenőrzés sikertelen, akkor minden megáll itt
- egy “DKIM-Signature” nevű fejléc kerül az üzenet fejléclistájába azáltal, hogy aláírást generál a kulcs privát részével az üzenet tartalmán
- ezen pont után az üzenet fő tartalma nem módosítható, vagy a DKIM-Signature fejléc nem lesz megfelelő, és a hitelesítés sikertelen lesz.
- az üzenet fogadásakor a fogadó szerver DNS-lekérdezést készít a DKIM-Signature-ben használt nyilvános kulcs lekérésére
- ezt követően a DKIM fejléc segítségével eldönthető, hogy az üzenet tranzitban megváltozott-e, vagy megbízható-e
DMARC
- a vételkor a fogadó szerver ellenőrzi, hogy a a DMARC házirend az SPF és / vagy dkim ellenőrzések által használt tartományban jelenik meg
- ha az egyik vagy mindkét SPF / DKIM ellenőrzés sikeres, de nem igazodik a DMARC házirendhez, akkor az ellenőrzés sikertelennek minősül, ellenkező esetben, ha is igazodik a DMARC politika, akkor az ellenőrzés sikeres
- a hiba, alapján, amit a művelet által közzétett DMARC politika, különböző intézkedéseket lehet tenni
még akkor is, ha van egy tökéletesen működőképes rendszer, és az összes fent említett eszközök beállítása és zökkenőmentesen, akkor nem lehet 100% biztonságos, mert nem minden szerver van használja ezeket az eszközöket.
tartalomszűrés
a Tartalomszűrők lehetővé teszik a bejövő / kimenő üzenetek beolvasását és ellenőrzését, valamint a megfelelő műveletek automatikus végrehajtását az eredmények alapján.
az ilyen szolgáltatások elsősorban az e-mail tartalmát vizsgálják, és eldöntik, hogy a tartalom megfelel-e a spamszűrőknek, és megakadályozza, hogy az üzenet elérje a beérkező leveleket. A beolvasások a kép metaadatait és fejléceit, valamint az üzenet szöveges tartalmát is megvizsgálják.
az Axigen beépített prémium vírus-és levélszemétszűrést biztosít, amelyek előre csomagolva vannak, és teljesen integráltak és konfigurálhatók a WebAdmin segítségével:
- Axigen prémium AntiSpam és AntiVirus (powered by Cyren) és
- Kaspersky AntiSpam and AntiVirus.
azt is integrálni harmadik féltől származó termékek, amíg azok Milter képes, vagy akár a felhő alapú szolgáltatások, mint egy átjáró előtt az e-mail szerver.
fontos megjegyezni, hogy a tartalomszűrés erőforrás-igényesebb, ezért fontos, hogy a tartalomszűrő elérése előtt megvalósítsa a többi réteget is, amelyek kiszűrik az e-maileket.
kimenő e-mail forgalom biztosítása
Küldés és fogadás korlátozások
korlátozások alkalmazhatók az e-mail szerveren tárolt felhasználók által küldött üzenetekre. Szabályozhatja az üzenet maximális méretét teljes egészében, vagy az üzenet egyes részeinek méretét, vagy akár mindkét dolgot. Például szabályozhatja az üzenet fejlécének vagy mellékleteinek maximális méretét, vagy beállíthat egy korlátot a címzettek maximális számára, amelyet a felhasználó hozzáadhat egy kimenő üzenethez.
továbbá, és ami még fontosabb, rendszergazdaként létrehozhat küldési kvótákat (kivételekkel), amelyek biztosítják, hogy a tisztességes felhasználásra vonatkozó irányelveket automatikusan végrehajtják.
a korlátozások Axigen Webadminban történő konfigurálásáról itt olvashat bővebben.
kimenő levélszemét védelem
az e-mail szervereken kimenő levelek ellenőrzése ugyanolyan fontos, mint a bejövő üzenetek ismerete. Tehát a kimenő üzenetek, valamint a bejövő üzenetek beolvasására vonatkozó politika fontos, mert megakadályozhatja, hogy valaki spam üzeneteket küldjön, és mint ilyen, nem kívánt következményeket vonzzon rád.
További információ erről a témáról a LinkedIn-ről szóló cikkemben.
postaláda-hozzáférés biztosítása
Webmail Two Factor Authentication (2FA)
a felhasználói fiókok biztonságának biztosítása annak ellenére, hogy valószínűleg SSL/TLS-t használ, fontos, mert néha a felhasználói jelszavak nem a legerősebbek.
amellett, hogy az Axigen támogatja a konfigurálható Jelszóházirendeket, a kétfaktoros hitelesítés engedélyezése nagyban javíthatja az egyes felhasználók fiókbiztonságát, és megvédheti adataikat a rosszindulatú harmadik felektől, amelyek egyébként hozzáférhetnek a fiókjukhoz, mert esetleg egy másik, biztonsági hátsó ajtóval rendelkező szolgáltatástól kapták meg a jelszavukat.
az Axigen kétfaktoros hitelesítési támogatást nyújt a felhasználói fiókokhoz.
SSL/TLS hallgatók
nagyon fontos, hogy a hallgatók megfelelően legyenek konfigurálva jó SSL verziókkal és cypher csomagokkal. Az Axigen szerver minden beállítással együtt jár, ezért javasoljuk, hogy mindig tartsa naprakészen a szervert, hogy az SSL hallgatók A-osztályúak legyenek.
IMAP titkosítás és hitelesítés Ajánlott beállítások
titkosított kapcsolat használata engedélyezett StartTLS-sel a legjobb módja annak, hogy az Ön és ügyfelei adatai védettek legyenek, és ne olvashassák azokat rosszindulatú harmadik fél.
az Axigen WebAdmin lehetővé teszi a levelezőszerver titkosításának és hitelesítésének beállításait, az IMAP konfigurálásához javasolt beállításokat ezen a dokumentációs oldalon tekintheti meg.
védelem a Brute Force támadásoktól
a brute force támadás egy olyan típusú kibertámadás, ahol egy rosszindulatú harmadik fél különböző jelszavakat és jelszavakat próbál ki egy automatizált szkript segítségével, amíg meg nem találja a megfelelő kombinációt egy fiókhoz vagy Szolgáltatáshoz való hozzáféréshez. Lehet, hogy már régóta létezik, azonban még mindig nagyon népszerű, mert mennyire hatékony a gyenge jelszavak ellen, ezért a kétfaktoros hitelesítés fontos jellemzője a felhasználói fiókoknak.
a Fail2Ban (Linux) és az RDPGuard (Windows) olyan Behatolásmegelőző rendszerek, amelyek védelmet nyújtanak a brute-force támadásokkal szemben a levelezőszerverek számára. A naplófájlok figyelésével és azon gazdagépek IP-címeinek blokkolásával, amelyek túl sok bejelentkezési kísérletet vagy túl sok kapcsolatot hajtanak végre a levelezőszerver adminisztrátora által meghatározott rövid idő alatt.
További információ arról, hogyan állíthatja be az Axigen szervert a fail2ban használatára Linuxon, vagy hogyan állíthatja be az Axigen szervert az Rdpguard használatára Windows rendszeren
tűzfal
az egyik kritikus és valóban kötelező hálózati szintű biztonsági ellenőrzés a tűzfal. A tűzfalnak fejlett állandó fenyegetéselemzési funkciókkal kell rendelkeznie, mivel képesek észlelni a nulla napos biztonsági támadásokat. A legjobb gyakorlat az intrusion detection systems (IDS) futtatása is. A bejövő / kimenő e-mail forgalom szűréséhez e-mail biztonsági átjáróra van szükség.
a tűzfal szűrési szabályai felhasználhatók bizonyos e-mail forgalom megtagadására / engedélyezésére. Ez akkor hasznos, ha megakadályozza, hogy a szerver továbbítóvá váljon, és tömeges spam e-maileket küldjön. A csomagszűrési szabályok segítenek megállítani a DDoS és DoS támadásokat.
az Axigen rendelkezik egy belső összetevővel az alkalmazásszintű tűzfalhoz, amely ezt a kiszolgáló biztonsági rétegeinek részeként kezeli.
a beépített tűzfal webadminban elérhető konfigurációs lehetőségeiről a dokumentációs oldal Flow control szakaszában olvashat bővebben.
következtetés
a biztonságos e-mail szerver lényegében mind hálózati, mind szerver szintű biztonsági vezérléssel rendelkezik. Általános gyakorlat a saját e-mail szerver konfigurálása és karbantartása. Egyes szervezetek azonban úgy döntenek, hogy polcon kívüli e-mail szerver szoftvermegoldásokat vásárolnak. Ha figyelembe veszi ezt a lehetőséget, a biztonságnak kell a legnagyobb figyelmet fordítania.
nincs teljesen biztonságos rendszer a világon. Egyes levelezőszoftver-megoldások azonban átfogó csomagokat kínálnak, amelyek minden réteg biztonságát lefedik, beleértve a hálózati és szerverszinteket is.
egy rendkívül biztonságos e-mail szerver megoldásnak rendelkeznie kell:
- tűzfalszabályok
- biztonságos e-mail átjáró
- szerver szintű vezérlők, beleértve a titkosítást, a spam / adathalászat / víruskereső, valamint a megfigyelő, elemző szolgáltatást.
az egyik legfontosabb megoldás az Axigen által kínált biztonságos e-mail szerver megoldás, amelyről többet megtudhat itt.
Leave a Reply