Articles /

Come posso proteggere il mio server di posta? Una guida completa

Protezione del traffico e-mail in entrata

Crittografia di un server di posta e crittografia del traffico e-mail sono in realtà due cose diverse. Un server di posta elettronica sicuro richiede la crittografia durante il trasferimento, la crittografia delle e-mail e la crittografia delle e-mail salvate.

Crittografia lato utente finale

PGP/MIME e S/MIME sono due opzioni per crittografare le e-mail end-to-end. Queste due opzioni utilizzano la crittografia basata su certificati per le e-mail dal momento in cui provengono dal dispositivo dell’utente finale fino a quando non vengono ricevute sul dispositivo dell’utente finale del destinatario..

S / MIME utilizza una chiave pubblica o una crittografia asimmetrica e certificati digitali per le e-mail. I certificati consentono di autenticare il mittente dell’e-mail.

Crittografia delle credenziali di autenticazione

Axigen, uno dei principali fornitori di software per server di posta elettronica, utilizza CRAM-MD5, DIGEST-MD5 e GSSAPI per la crittografia delle credenziali di posta elettronica. Per saperne di più su Axigen mail server security sulla nostra pagina dedicata.

L’autenticazione di invio SMTP è necessaria per identificare correttamente il mittente e per garantire che il server di posta elettronica non diventi un relè aperto abusato da terze parti.

Per la crittografia in transito delle e-mail, TLS è lo standard de facto. Può e deve essere utilizzato per proteggere il traffico per webmail, IMAP e qualsiasi altro protocollo di accesso client.

Servizi SMTP

Simple Mail Transfer Protocol (o SMTP) è il protocollo di scelta utilizzato dalla maggior parte dei client di posta elettronica per inviare messaggi a un server di posta elettronica così come i server di posta elettronica che inviano / inoltrano messaggi da un server a un altro sulla loro strada per il loro utente designato.

Ecco i problemi di sicurezza più comuni durante la trasmissione di e-mail:

  • accesso non autorizzato alla tua e-mail e perdite di dati
  • Spam e Phishing
  • Malware
  • attacchi DoS

SSL (Secure Sockets Layer) è un protocollo di crittografia sviluppato da Netscape nel 1995 progettato per fornire maggiore sicurezza sulle comunicazioni di rete ed è il predecessore di TLS (Transport Layer Security). Poiché tutte le versioni SSL attualmente hanno un sacco di vulnerabilità note e sfruttabili non è più raccomandato per l’uso in produzione. La protezione della trasmissione con TLS è l’attuale standard de facto: le versioni TLS consigliate sono 1.1, 1.2 e, la più recente e sicura, 1.3.

SSL / TLS crittografa i messaggi tra il client di posta elettronica e il server di posta elettronica, nonché tra i server di posta elettronica. Se la comunicazione SMTP crittografata viene registrata da una terza parte malevola, quella parte vedrà solo quelli che sembrano essere caratteri casuali che sostituiscono il contenuto dell’e-mail, il che significa che i tuoi contatti e i dati dei messaggi sono ancora protetti e illeggibili.

Axigen supporta anche un’estensione TLS chiamata Perfect Forward Secrecy che è una caratteristica di specifici protocolli di accordo chiave che garantisce che le chiavi di sessione non saranno compromesse anche se i segreti a lungo termine utilizzati nello scambio di chiavi di sessione sono compromessi. In parole povere, se le chiavi private memorizzate sul server vengono perse o violate, le sessioni SMTP crittografate precedentemente registrate sono ancora indecifrabili.

lets-encrypt-certificates

A partire dalla versione X2, Axigen può utilizzare il servizio Let’s Encrypt per generare certificati SSL, che vengono rinnovati automaticamente prima della scadenza.

Dalla versione X3, Axigen consente la gestione dei certificati dal WebAdmin, consentendo così di creare, rinnovare o eliminare certificati o CSR, nonché di visualizzare e configurare dove ciascun certificato deve essere utilizzato, ad esempio listener di servizi, host virtuale o protezione delle connessioni SMTP durante la distribuzione tramite un host intelligente.

Maggiori informazioni sulla protezione dei servizi SMTP utilizzando Axigen.

DNSBL e URIBL

Domain Name System Blacklist (DNSBL) o Real-time Blackhole List (RBL) è in sostanza un servizio che fornisce una lista nera di domini noti e indirizzi IP che hanno la reputazione di essere una fonte di spam. In genere il software del server di posta può essere configurato per controllare uno o più di questi elenchi.

Un DNSBL è più un meccanismo software, piuttosto che un elenco specifico. Ce ne sono molti esistenti, che utilizzano una vasta gamma di criteri che potrebbero ottenere un indirizzo elencato o non elencato: elencando gli indirizzi delle macchine utilizzate per inviare spam, i fornitori di servizi Internet (ISP) sono noti per ospitare gli spammer, ecc.

  • Spamhaus DBL è un servizio che mette in blacklist i domini trovati nei messaggi spam e elencati come aventi una cattiva reputazione.
  • Il servizio URIBL è un elenco di domini rilevati come invio di e-mail di spam

I server DNSBL sono nella lista nera come spammer e quando si definisce un server come uno, le e-mail da tali server vengono automaticamente eliminate.

Axigen offre anche due di questi servizi ai propri clienti: aDNSBL e aURIBL, questi due sono elenchi DNSBL e URIBL basati su IP premium, gestiti e curati da Axigen e possono essere utilizzati dai clienti Axigen che si abbonano a questi servizi opzionali.

SPF, DKIM e DMARC

SPF (Sender Policy Framework) è una voce TXT DNS che contiene un elenco di server che devono essere considerati autorizzati a inviare posta per conto di un dominio specifico. Essere una voce DNS può essere considerato come un modo per far rispettare il fatto che l’elenco di voci è affidabile per il dominio in quanto le uniche persone autorizzate ad aggiungere o modificare quella zona di dominio sono i proprietari o gli amministratori del dominio.

Ulteriori informazioni sulla configurazione di SPF per i servizi Axigen sono disponibili qui.

DKIM (DomainKeys Identified Mail) è un metodo per verificare che il contenuto dei messaggi sia affidabile, mostrando che il contenuto non è stato modificato dal momento in cui il messaggio ha lasciato il server di posta iniziale e fino a quando non ha raggiunto la destinazione. Questo ulteriore livello di coerenza viene ottenuto mediante l’uso di un processo standard di firma della chiave pubblica / privata. Come nel caso dell’SPF, i proprietari o gli amministratori del dominio aggiungono un record DNS che contiene la chiave DKIM pubblica che verrà utilizzata dai ricevitori per verificare che la firma DKIM del messaggio sia corretta, e sul lato mittente delle cose il server utilizzerà la chiave privata corrispondente alla chiave pubblica presente nel record DNS per firmare i messaggi di posta.

Ulteriori informazioni sulla configurazione di DKIM per i servizi Axigen sono disponibili qui.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è un protocollo che utilizza SPF e DKIM per determinare se il messaggio e-mail è autentico. In sostanza, rende più facile per gli ISP impedire a terze parti dannose di eseguire pratiche come lo spoofing del dominio per phish per le informazioni private degli utenti.

DMARC stabilisce una politica chiara su SPF e DKIM e consente l’impostazione di un indirizzo che dovrebbe essere utilizzato per inviare report sui messaggi di posta inviati dal server. Questo criterio deve essere utilizzato da tutti i server e client riceventi.

Ulteriori informazioni sulla configurazione di DMARC per i servizi Axigen sono disponibili qui.

Tutti questi strumenti si basano molto su DNS e il modo in cui funzionano dopo che tutto il set up è stato curato è il seguente:

SPF

  • al ricevimento, HELO messaggio e l’indirizzo del mittente vengono recuperati dal server di posta
  • il server di posta recupera un TXT query DNS contro i messaggi di dominio SPF voce
  • recuperato SPF immissione dei dati viene quindi utilizzato per verificare che il server di invio
  • se il controllo ha esito negativo, il messaggio viene respinto con informazioni in merito al rigetto

DKIM

  • Sull’invio di un messaggio, l’ultimo server nel dominio infrastrutture controlli contro le sue impostazioni interne, se il dominio che viene utilizzato nel:”header è infatti incluso nella sua”tabella di firma”. Se questo controllo non riesce il tutto si ferma qui
  • Un’intestazione denominata “DKIM-Firma”, è aggiunto il messaggio di intestazione elenco, mediante la generazione di una firma utilizzando la parte privata della chiave sul contenuto del messaggio
  • Dopo questo punto il messaggio principale contenuto non può essere modificato o DKIM-intestazione Firma non essere corretti più e l’autenticazione fallisce.
  • , alla ricezione del messaggio, il server di ricezione farà una query DNS per recuperare la chiave pubblica usata in DKIM-Firma
  • Dopo che il DKIM di intestazione può essere usato per decidere se il messaggio è stato modificato in transito o se è affidabile

DMARC

  • al momento della ricezione, il server di ricezione, controllare se un DMARC politica è pubblicato nel dominio utilizzato da SPF e / o DKIM controlli
  • se uno o entrambi SPF e DKIM, controlli di successo, ma non sono allineati con il DMARC politica, il controllo è considerato negativo, altrimenti, se sono allineato anche con la politica DMARC, il controllo è riuscito
  • in caso di errore, in base a quale azione è pubblicata dalla politica DMARC, possono essere intraprese diverse azioni

Anche se si dispone di un sistema perfettamente funzionale e tutti gli strumenti sopra menzionati impostati e funzionanti senza intoppi, non si può essere sicuri al 100% perché non tutti i server là fuori utilizzano questi strumenti.

Content Filtering

Content filters consente di eseguire automaticamente la scansione e l’ispezione dei messaggi in entrata / uscita e di eseguire le azioni corrispondenti in base ai risultati.

Servizi come questi scansionano principalmente il contenuto del messaggio e-mail e decidono se il contenuto corrisponde ai filtri antispam e impedisce al messaggio di raggiungere la posta in arrivo. Le scansioni esaminano anche i metadati delle immagini e le intestazioni, nonché il contenuto del testo del messaggio.

cyren-antivirus-antispam-brochure

Axigen offre filtri antivirus e AntiSpam premium integrati, pre-confezionati e completamente integrati e configurabili dal WebAdmin:

  • L’AntiSpam e l’AntiVirus premium di Axigen (alimentato da Cyren) e
  • Kaspersky AntiSpam e AntiVirus.

È inoltre possibile integrare qualsiasi prodotto di terze parti, purché siano in grado di Milter, o anche utilizzare servizi basati su cloud come gateway di fronte al server di posta elettronica.

È importante notare che il filtraggio dei contenuti richiede più risorse, motivo per cui è importante implementare anche gli altri livelli che filtrano le e-mail prima di raggiungere il filtro dei contenuti.

Protezione del traffico e-mail in uscita

Restrizioni di invio e ricezione

I limiti possono essere applicati ai messaggi inviati dagli utenti ospitati sul server di posta elettronica. È possibile controllare la dimensione massima che un messaggio può avere nella sua interezza o la dimensione delle singole parti di un messaggio o anche entrambe le cose. Ad esempio, è possibile controllare la dimensione massima dell’intestazione del messaggio o dei suoi allegati o impostare un limite per il numero massimo di destinatari che un utente può aggiungere a un messaggio in uscita.

Inoltre, e ancora più importante, come amministratore, è possibile creare quote di invio (con eccezioni) che assicurano che il Criterio di utilizzo corretto venga applicato automaticamente.

Puoi leggere ulteriori informazioni sulla configurazione di queste restrizioni in Axigen WebAdmin qui.

Protezione dallo spam in uscita

Avere il controllo su ciò che esce dai tuoi server di posta elettronica è importante quanto sapere cosa entra in gioco. Quindi, avere una politica per la scansione dei messaggi in uscita e dei messaggi in arrivo è importante perché può impedire a qualcuno di inviare messaggi di spam e come tale attirare ripercussioni indesiderate su di te.

Maggiori informazioni su questo argomento nel mio articolo su LinkedIn qui.

Garantire l’accesso alle cassette postali

Webmail Two Factor Authentication (2FA)

Assicurarsi che gli account utente siano sicuri anche se probabilmente si sta utilizzando SSL/TLS, è importante perché a volte le password degli utenti non sono le più forti.

Oltre al fatto che Axigen supporta le politiche di password configurabili, l’abilitazione dell’autenticazione a due fattori può migliorare notevolmente la sicurezza dell’account di ciascun utente e proteggere i propri dati da terze parti malevoli che potrebbero altrimenti accedere al proprio account perché potrebbero aver ottenuto la password da un altro servizio che stavano usando che aveva una backdoor di

Axigen fornisce il supporto per l’autenticazione a due fattori per gli account utente.

Ascoltatori SSL/TLS

È molto importante che i tuoi ascoltatori siano configurati correttamente con buone versioni SSL e suite di cypher. Il server Axigen viene fornito con tutto impostato e ti consigliamo di tenere sempre aggiornato il server per assicurarti che i tuoi ascoltatori SSL siano di grado A.

Crittografia e autenticazione IMAP Impostazioni consigliate

L’utilizzo di una connessione crittografata con StartTLS abilitato è il modo migliore per garantire che i dati dei tuoi e dei tuoi clienti siano protetti e non possano essere letti da terze parti malevoli.

Axigen WebAdmin consente il controllo delle impostazioni di crittografia e autenticazione del server di posta, è possibile visualizzare le impostazioni consigliate per la configurazione di IMAP in questa pagina di documentazione.

Protezione dagli attacchi di forza bruta

Un attacco di forza bruta è un tipo di attacco informatico in cui una terza parte malevola tenta password e passphrase diverse utilizzando uno script automatico fino a trovare la combinazione giusta per accedere a un account o servizio. Potrebbe essere stato in giro per molto tempo, tuttavia è ancora molto popolare a causa di quanto sia efficace contro le password deboli, motivo per cui l’autenticazione a due fattori è una caratteristica importante da avere sugli account utente.

Fail2Ban (Linux) e RDPGuard (Windows) sono sistemi di prevenzione delle intrusioni che aggiungono protezione per gli attacchi di forza bruta ai server di posta. Monitorando i file di registro e bloccando gli indirizzi IP degli host che eseguono troppi tentativi di accesso o troppe connessioni in un breve periodo di tempo definito dall’amministratore del server di posta.

Ulteriori informazioni su come impostare il server Axigen per utilizzare Fail2Ban su Linux o come impostare il server Axigen per utilizzare RDPGuard su Windows

Firewall

Uno dei controlli di sicurezza a livello di rete critici e veramente obbligatori è il firewall. Un firewall dovrebbe avere funzionalità avanzate di analisi delle minacce persistenti, in quanto sono in grado di rilevare attacchi di sicurezza zero-day. È una buona pratica eseguire anche i sistemi di rilevamento delle intrusioni (IDS). È necessario un gateway di sicurezza e-mail per schermare il traffico e-mail in entrata / in uscita.

Le regole di filtraggio del firewall possono essere utilizzate per negare / consentire traffico e-mail specifico. Questo è utile per impedire al server di diventare un relè e inviare e-mail di spam di massa. Le regole di filtraggio dei pacchetti aiutano a fermare gli attacchi DDoS e DoS.

Axigen ha un componente interno per il firewall a livello di applicazione che gestisce questo per voi come parte dei livelli di sicurezza del server.

È possibile leggere ulteriori informazioni sulle opzioni di configurazione disponibili nel WebAdmin per il firewall integrato nella sezione Controllo di flusso di questa pagina di documentazione.

Conclusione

Un server di posta elettronica sicuro ha essenzialmente controlli di sicurezza a livello di rete e server. Si tratta di una pratica standard per configurare e mantenere il proprio server di posta elettronica. Tuttavia, alcune organizzazioni scelgono di acquistare soluzioni software off-the-shelf server di posta elettronica. Se consideri questa opzione, la sicurezza dovrebbe essere la tua massima considerazione.

Non esiste un sistema completamente sicuro in qualsiasi parte del mondo. Tuttavia, alcune soluzioni software di posta elettronica forniscono pacchetti completi che coprono la sicurezza a tutti i livelli, inclusi i livelli di rete e server.

Una soluzione di server di posta elettronica altamente sicura dovrebbe avere:

  • regole firewall
  • secure email gateway
  • controlli a livello di server tra cui crittografia, anti-spam / anti-phishing / antivirus, nonché un servizio di monitoraggio e analisi.

Una delle migliori soluzioni è la soluzione server di posta elettronica sicura offerta da Axigen, di cui puoi saperne di più qui.

Leave a Reply