メールサーバーのセキュリティを確保するにはどうすればよいですか? 包括的なガイド
受信電子メールトラフィックの保護
メールサーバーの暗号化と電子メールトラフィックの暗号化は、実際には二つの異なるものです。 安全な電子メールサーバーは、転送中の暗号化、電子メールの暗号化、および保存された電子メールの暗号化が必要です。
エンドユーザー側の暗号化
PGP/MIMEとS/MIMEは、電子メールをエンドツーエンドで暗号化するための2つのオプションです。 これらの2つのオプションでは、電子メールがエンドユーザーデバイスから発信された瞬間から、受信者のエンドユーザーデバイスで受信されるまで、電子メールに証明書ベースの暗号化が使用されます。.
S/MIMEは、電子メールにデジタル証明書と同様に、公開鍵または非対称暗号を使用します。 証明書は、電子メールの送信者を認証するのに役立ちます。
認証資格情報の暗号化
Axigenは、大手電子メールサーバソフトウェアプロバイダの一つとして、電子メール資格情報の暗号化にCRAM-MD5、DIGEST-MD5、およびGSSAPIを使用し Axigenメールサーバーのセキュリティについての詳細は、専用ページをご覧ください。
SMTP送信認証は、送信者を適切に識別し、電子メールサーバーが第三者によって悪用されたオープンリレーにならないようにするために必要です。
電子メールの転送中の暗号化では、TLSが事実上の標準です。 これは、webメール、IMAP、およびその他のクライアントアクセスプロトコルのトラフィックを保護するために使用できます。
SMTPサービス
Simple Mail Transfer Protocol(またはSMTP)は、ほとんどの電子メールクライアントが電子メールサーバーにメッセージを送信するために使用されるプロトコルであり、電子メールサーバーが指定されたユーザーに向かう途中であるサーバーから別のサーバーにメッセージを送信/中継するために使用されるプロトコルである。
電子メールを送信するときに最も一般的に発生するセキュリティ上の問題は次のとおりです:
- 電子メールへの不正アクセスとデータ漏洩
- スパムとフィッシング
- マルウェア
- DoS攻撃
SSL(Secure Sockets Layer)は、ネットワーク通信を介したセキュリティ強化を提供するように設計された1995年にNetscapeによって開発された暗号プロトコルであり、TLS(Transport Layer Security)の前身である。….. 現在、すべてのSSLバージョンには多くの既知の脆弱性があり、悪用可能な脆弱性があるため、本番環境での使用は推奨されなくなりました。 TLSによる伝送のセキュリティ保護は、現在の事実上の標準です: 推奨されるTLSバージョンは、1.1、1.2、および最新かつ最も安全な1.3です。
SSL/TLSは、電子メールクライアントと電子メールサーバー間、および電子メールサーバー間のメッセージを暗号化します。 暗号化されたSMTP通信が悪意のある第三者によって記録された場合、その当事者は、連絡先やメッセージデータがまだ保護され、読めないことを意味する電子メールの内容を置き換えるランダムな文字のように見えるものだけが表示されます。
Axigenは、セッション鍵交換で使用される長期秘密が侵害されてもセッション鍵が侵害されないことを保証する特定の鍵合意プロトコルの機能であるPerfect Forward Secrecyと呼ばれるTLS拡張もサポートしている。 素人の言葉では、サーバーに保存されている秘密鍵が失われたり侵害されたりした場合でも、以前に記録された暗号化されたSMTPセッションは解読できま
バージョンX2以降では、Axigenはlet’S Encryptサービスを使用してSSL証明書を生成できますが、これは有効期限が切れる前に自動的に更新されます。
バージョンX3から、AxigenはWebAdminからの証明書管理を可能にするため、証明書またはCsrを作成、更新、または削除したり、各証明書を使用する場所を表示して構成したり、スマートホストを介して配信する際にサービスリスナー、仮想ホスト、またはSMTP接続をセキュリティで保護したりすることができます。
Axigenを使用したSMTPサービスのセキュリティ保護の詳細をお読みください。
DNSBLおよびURIBL
ドメインネームシステムブラックリスト(DNSBL)またはリアルタイムブラックホールリスト(RBL)は、本質的にスパムの原因であると評判の既知のドメ 通常、メールサーバソフトウェアは、これらのリストの一つ以上をチェックするように設定することができます。
DNSBLは、特定のリストではなく、ソフトウェアメカニズムのようなものです。 リストされているか、またはリストされていない住所を得るかもしれない多数の規準を使用する存在に多数がある:スパムを送るのに使用されている機械の住所をリストすることはスパマー、等を催すと知られているインターネット・サービス・プロバイダ(Isp)をホストするために。
- Spamhaus DBLは、スパムメッセージで見つかったドメインをブラックリストに登録し、評判が悪いと記載するサービスです。
- URIBLサービスは、スパムメールを送信しているとして検出されたドメインのリストです
DNSBLサーバーはスパマーとしてブラックリストに登録され、サーバーを1つに定義すると、そのようなサーバーからのメールは自動的に削除されます。
Axigenはまた、顧客に二つのそのようなサービスを提供しています:aDNSBLとaURIBL、これら二つは、Axigenによって運営され、キュレーションされたプレミアムIPベースのDNSBLとURIBLリス
SPF、DKIM、およびDMARC
SPF(Sender Policy Framework)は、特定のドメインに代わってメールを送信することが許可されていると見なされるサーバーのリストを持つDNS TXTエント DNSエントリであることは、そのドメインゾーンを追加または変更することが許可されている唯一の人々がドメインの所有者または管理者であるため、
Axigenサービス用のSPFの設定に関する詳細は、こちらを参照してください。
Dkim(DomainKeys Identified Mail)は、メッセージの内容が信頼できることを確認する方法であり、メッセージが最初のメールサーバーを離れた瞬間から宛先に到達するまで内容が変更されていないことを示しています。 この追加の一貫性の層は、標準の公開鍵/秘密鍵署名プロセスを使用することによって達成されます。 SPFの場合と同様に、ドメインの所有者または管理者は、メッセージのDKIM署名が正しいことを確認するために受信者によって使用される公開DKIMキーを含むDNSレコードを追加し、送信者側では、サーバーはDNSレコードに存在する公開キーに対応する秘密キーを使用してメールメッセージに署名します。
Axigenサービス用のDKIMの設定の詳細については、こちらを参照してください。DMARC(Domain-based Message Authentication,Reporting,and Conformance)は、SPFとDKIMを使用して電子メールメッセージが本物であるかどうかを判断するプロトコルです。 本質的には、Ispが悪意のある第三者がユーザーの個人情報をphishするためのドメインなりすましなどの慣行を実行するのを防ぐことが容易になります。
DMARCは、SPFとDKIMの両方について明確なポリシーを述べ、サーバーから送信されたメールメッセージに関するレポートを送信するために使用するアドレスの設定を許可 このポリシーは、受信側のすべてのサーバーとクライアントで使用する必要があります。
Axigenサービス用のDMARCの設定の詳細については、こちらを参照してください。
これらのツールはすべてDNSに大きく依存しており、すべてのセットアップが処理された後の動作方法は次のとおりです:
SPF
- 受信時に、HELOメッセージと送信者のアドレスがメールサーバーによって取得されます
- メールサーバーは、メッセージのドメインSPFエントリ
- に対してTXT DNSクエリをフェッチします取得されたSPFエントリデータを使用して、送信サーバー
- このチェックが失敗した場合、メッセージは情報で拒否されます拒否について
dkim
- メッセージの送信時に、ドメインインフラストラクチャ内の最後のサーバーは、”FROM”で使用されているドメインがあるかどうかを内部設定:”ヘッダーは実際にその”署名テーブル”に含まれています。 このチェックが失敗すると、すべてがここで停止します
- メッセージの内容の鍵の秘密部分を使用して署名を生成することにより、”DKIM-Signature”という名前のヘッダーがメッセージヘッダリストに追加されます
- このポイントの後、メッセージのメインコンテンツを変更できないか、DKIM-Signatureヘッダーが正しくなくなり、認証が失敗します。
- メッセージの受信時に、受信側サーバーはDKIM-Signature
- で使用されている公開鍵を取得するDNSクエリを作成し、その後、DKIMヘッダーを使用してメッセージが転送中に変更されたか、信頼できるかどうかを判断できます
DMARC
- 受信時に、受信側サーバーはDMARCポリシーが変更されているかどうかを確認します。spfおよび/またはDkimチェックが使用するドメインで公開されています
- 一方または両方のspf/DKIMチェックが成功したがDmarcポリシーと整合していない場 また、DMARCポリシーに合わせてチェックが成功しました
- 失敗した場合、DMARCポリシーによって公開されたアクションに基づいて、異なるアクションを取ることができます
完全に機能するシステムがあり、上記のすべてのツールがスムーズにセットアップされて実行されていても、そこにあるすべてのサーバーがこれらのツールを使用しているわけではないため、100%安全ではありません。
コンテンツフィルタ
コンテンツフィルタを使用すると、受信/送信メッセージをスキャンして検査し、結果に基づいて対応するアクションを自動的に
これらのようなサービスは、主に電子メールメッセージの内容をスキャンし、その内容がスパムフィルタと一致するかどうかを判断し、メッセージが受信トレイに到達するのをブロックします。 スキャンでは、画像のメタデータとヘッダー、およびメッセージテキストコンテンツも確認します。
Axigenは、事前にパッケージ化され、完全に統合され、WebAdminから構成可能である組み込みのプレミアムウイルス対策とスパム対策フィルタリングを提供します:
- Axigenのプレミアムアンチスパムとアンチウイルス(Cyrenによって供給)と
- カスペルスキーアンチスパムとアンチウイルス。
また、Milterが可能であれば、サードパーティ製品を統合したり、クラウドベースのサービスをメールサーバーの前のゲートウェイとして使用したりすることもできます。
コンテンツフィルタはリソースを集中的に消費するため、コンテンツフィルタに到達する前に電子メールをフィルタリングする他のレイヤーも実装することが重要であることに注意することが重要です。
送信メールトラフィックの保護
送受信の制限
制限は、電子メールサーバーでホストするユーザーによって送信されるメッセージに適用できます。 メッセージ全体が持つことができる最大サイズ、またはメッセージの個々の部分、またはこれらの両方のサイズを制御することができます。 たとえば、メッセージヘッダーまたはその添付ファイルの最大サイズを制御したり、ユーザーが送信メッセージに追加できる受信者の最大数の制限を設定し
さらに、さらに重要なのは、管理者として、公正使用ポリシーが自動的に適用されるように、送信クォータを(例外を除いて)作成することができます。
これらの制限の設定の詳細については、Axigen WebAdminを参照してください。
送信スパム保護
電子メールサーバーから何が出るかを制御することは、何が入ってくるかを知ることと同じくらい重要です。 それはスパムメッセージを送信し、そのようなあなたに不要な影響を集めてから誰かを停止することができますので、発信メッセージだけでなく、着信メッ
この主題についての詳細は、LinkedInの私の記事でここにあります。
メールボックスアクセスの保護
Webmail Two Factor Authentication(2FA)
SSL/TLSを使用している可能性がありますが、ユーザーアカウントが安全であることを確認することは、ユーザーパスワードが最強ではないことがあるため重要です。
Axigenが設定可能なパスワードポリシーをサポートしていることに加えて、二要素認証を有効にすると、各ユーザーのアカウントセキュリティが大幅に向上し、セキュリティバックドアを持っていた別のサービスからパスワードを取得している可能性があるため、アカウントにアクセスする可能性のある悪意のある第三者からデータを保護することができます。
Axigenは、ユーザーアカウントの二要素認証サポートを提供します。
SSL/TLSリスナー
リスナーが適切なSSLバージョンとcypherスイートで正しく構成されていることは非常に重要です。 Axigenサーバーにはすべての設定が付属しており、SSLリスナーがaグレードであることを確認するために、常にサーバーを最新の状態に保つことをお勧めします。
IMAP暗号化と認証推奨設定
StartTLSを有効にして暗号化された接続を使用することは、あなたとあなたのクライアントのデータが保護され、悪意のあるサー
Axigen WebAdminは、メールサーバーの暗号化と認証の設定を制御できます。IMAPを設定するための推奨設定は、このドキュメントページで確認できます。
ブルートフォース攻撃からの保護
ブルートフォース攻撃とは、悪意のある第三者が、アカウントやサービスにアクセスするための適切な組み合わせを見つけるまで、自動化されたスクリプトを使用して異なるパスワードとパスフレーズを試みるサイバー攻撃の一種です。 それは長い間出回っていたかもしれませんが、それは弱いパスワードに対してどれほど効果的であるかのためにまだ非常に人気があります。
Fail2Ban(Linux)とRDPGuard(Windows)は、メールサーバーへのブルートフォース攻撃に対する保護を追加する侵入防止システムです。 ログファイルを監視し、メールサーバーの管理者によって定義された短時間であまりにも多くのログイン試行、またはあまりにも多くの接続を実行するホ
Linux上でFail2Banを使用するようにAxigenサーバーを設定する方法、またはWindows上でRDPGuardを使用するようにAxigenサーバーを設定する方法の詳細
ファイアウォール
ファイアウォールは、ゼロデイセキュリティ攻撃を検出できるため、高度な永続的な脅威分析機能を備えている必要があります。 侵入検知システム(IDS)も実行することをお勧めします。 受信/送信電子メールトラフィックをスクリーニングするには、電子メールセキュリティゲートウェイが必要です。
ファイアウォールフィルタールールは、特定の電子メールトラフィックを拒否/許可するために使用できます。 これは、サーバーがリレーになって大量のスパムメールを送信するのを止めるのに便利です。 パケットフィルタリングルールは、DDoSおよびDoS攻撃を阻止するのに役立ちます。
Axigenには、サーバーのセキュリティ層の一部としてこれを処理するアプリケーションレベルのファイアウォール用の内部コンポーネントがあります。
組み込みファイアウォールのWebAdminで使用できる設定オプションの詳細については、このドキュメントページのフロー制御セクションを参照してください。
結論
安全な電子メールサーバーには、基本的にネットワークレベルとサーバーレベルの両方のセキュリティ制御があります。 独自の電子メールサーバーを設定して維持するのが標準的な方法です。 ただし、一部の組織では、既製の電子メールサーバーソフトウェアソリューションを購入することを選択します。 このオプションを検討する場合は、セキュリティを最も考慮する必要があります。
世界のどこにも完全に安全なシステムはありません。 ただし、メールソフトウェアソリューションの中には、ネットワークレベルやサーバーレベルを含むすべての層でセキュリティをカバーする包括的なパッケージを提供しているものもあります。
非常に安全な電子メールサーバソリューションには、次のものが必要です:
- ファイアウォールルール
- secure email gateway
- 暗号化、スパム対策/フィッシング対策/ウイルス対策、監視、分析サービスなどのサーバーレベルの制御。
トップソリューションの一つは、あなたがここで詳細を見つけることができますAxigenによって提供される安全な電子メールサーバソリューションです。
Leave a Reply