Articles /

Hvordan Sikrer Jeg E-Postserveren Min? En Omfattende Guide

Sikring Av Innkommende E-Posttrafikk

Kryptering av en e-postserver og kryptering av e-posttrafikk er faktisk to forskjellige ting. En sikker e-postserver krever kryptering under overføring, kryptering av e-post og kryptering av lagrede e-poster.

Kryptering på Sluttbrukersiden

PGP / MIME og S/MIME er to alternativer for kryptering av e-post fra ende til ende. Disse to alternativene bruker sertifikatbasert kryptering for e-postmeldinger fra det øyeblikket de kommer fra sluttbrukerenheten til de mottas på mottakerens sluttbrukerenhet..

S/MIME bruker en offentlig nøkkel eller asymmetrisk kryptografi samt digitale sertifikater for e-post. Sertifikater hjelper med å godkjenne e-post avsenderen.

Autentiseringslegitimasjonskryptering

Axigen, som en av de ledende programvareleverandørene for e-postserver, bruker CRAM-MD5, DIGEST-MD5 og GSSAPI for kryptering av e-postlegitimasjon. Les mer Om Axigen mail server security på vår dedikerte side.

Smtp-Innsendingsautentisering er nødvendig for å identifisere avsenderen riktig og for å sikre at e-postserveren din ikke blir en åpen videresending misbrukt av 3. part.

for kryptering under e-post er TLS de facto-standarden. Det kan og bør brukes til å sikre trafikk for webmail, IMAP og andre klientadgangsprotokoller.

SMTP-Tjenester

Simple Mail Transfer Protocol (ELLER SMTP) Er protokollen som brukes av de fleste e-postklienter til å sende meldinger til en e-postserver, samt e-postservere som sender / videresender meldinger fra en server til en annen på vei til den utpekte brukeren.

her er de vanligste sikkerhetsproblemene når du sender e-post:

  • Uautorisert tilgang til e-post og datalekkasje
  • Spam Og Phishing
  • Malware
  • DoS-angrep

SSL (Secure Sockets Layer) er en kryptografisk protokoll utviklet Av Netscape i 1995 designet for å gi forbedret sikkerhet over nettverkskommunikasjon og det er forgjengeren TIL Tls (Transport Layer Security). Siden ALLE SSL-versjoner for tiden har mange kjente og utnyttbare sårbarheter, anbefales ikke lenger for produksjonsbruk. Sikring av overføring med TLS er gjeldende de facto standard: anbefalte tls-versjoner er 1.1, 1.2 og, den nyeste og sikreste, 1.3.

SSL/TLS krypterer meldingene mellom e-postklienten og e-postserveren samt mellom e-postservere. Hvis DEN krypterte smtp-kommunikasjonen registreres av en ondsinnet tredjepart, vil den parten bare se hva som synes å være tilfeldige tegn som erstatter e-postinnholdet, noe som betyr at kontaktene og meldingsdataene fortsatt er beskyttet og uleselig.

Axigen støtter også En tls-utvidelse kalt Perfect Forward Secrecy, som er en funksjon i spesifikke viktige avtaleprotokoller som gir forsikringer om at øktnøkler ikke vil bli kompromittert selv om langsiktige hemmeligheter som brukes i øktnøkkelutvekslingen, blir kompromittert. I lekmannsvilkår, hvis de private nøklene som er lagret på serveren, går tapt eller brytes, er tidligere registrerte krypterte SMTP-økter fortsatt uutslettelige.

lets-krypter-sertifikater

Fra og med versjon X2 Kan Axigen bruke Let ‘ S Encrypt-tjenesten til å generere SSL-sertifikater, som fornyes automatisk før utløpet.

Fra Versjon X3 tillater Axigen sertifikatadministrasjon Fra WebAdmin, slik at du kan opprette, fornye eller slette certs eller Csr, samt vise og konfigurere hvor hvert sertifikat skal brukes-dvs. tjenestelytter, virtuell vert eller sikring AV SMTP-tilkoblinger når du leverer gjennom en smart vert.

Les mer om sikring AV SMTP-tjenester Ved Hjelp Av Axigen.

DNSBL og URIBL

Domain Name System Blacklist (DNSBL) eller Real-time Blackhole List (RBL) er i hovedsak en tjeneste som gir en svart liste over kjente domener og IP-adresser som har et rykte om å være en kilde til spam. Typisk mail server programvare kan konfigureres til å sjekke en eller flere av disse oppføringene.

EN DNSBL er mer en programvaremekanisme, snarere enn en bestemt liste. Det er mange som eksisterer, som bruker et bredt spekter av kriterier som kan få en adresse oppført eller unotert: oppføring av adressene til maskiner som brukes til å sende spam, internettleverandører (Isper) er kjent for å være vert for spammere, etc.

  • Spamhaus DBL er en tjeneste som svartelister domener funnet i spam-meldinger og oppført som å ha et dårlig rykte.
  • uribl-tjenesten er en liste over domener som oppdages som å sende spam-e-post

DNSBL-servere er svartelistet som spammere, og NÅR du definerer en server som en, blir e-poster fra slike servere automatisk slettet.

Axigen tilbyr også to slike tjenester til sine kunder: aDNSBL og aURIBL, disse to er premium IP-baserte DNSBL-og URIBL-lister, operert og kuratert Av Axigen, og De kan brukes Av Axigen-kunder som abonnerer på disse valgfrie tjenestene.

SPF, DKIM OG DMARC

SPF (Sender Policy Framework) er EN DNS TXT-oppføring som har en liste over servere som bør anses å ha fått lov til å sende e-post på vegne av et bestemt domene. Å være EN DNS-oppføring kan betraktes som en måte å håndheve det faktum at oppføringslisten er pålitelig for domenet, da de eneste som har lov til å legge til eller endre den domenesonen, er eiere eller administratorer av domenet.

Du finner mer informasjon om hvordan du konfigurerer SPF for Axigen-tjenestene her.

DKIM (DomainKeys Identified Mail) er en metode for å verifisere at meldingenes Innhold er pålitelig, og viser at innholdet ikke ble endret fra det øyeblikket meldingen forlot den opprinnelige e-postserveren og til den nådde målet. Dette ekstra konsistenslaget oppnås ved bruk av en standard offentlig / privat nøkkel signeringsprosess. Som I TILFELLET MED SPF, legger eierne eller administratorene av domenet TIL EN DNS-post som inneholder den offentlige dkim-nøkkelen som vil bli brukt av mottakere for å bekrefte at meldingen dkim-signaturen er riktig, og på avsendersiden av ting vil serveren bruke den private nøkkelen som svarer til den offentlige nøkkelen som er tilstede i DNS-posten for å signere e-postmeldingene.

Du finner mer informasjon om konfigurering AV Dkim for Axigen-tjenester her.

DMARC (Domenebasert Meldingsgodkjenning, Rapportering Og Samsvar) er en protokoll som bruker SPF og DKIM til å avgjøre om e-postmeldingen er autentisk. I hovedsak gjør det enklere For Internett-Leverandører å hindre ondsinnede tredjeparter fra å utføre praksis som domene spoofing til phish for brukere privat informasjon.

DMARC angir en klar policy om BÅDE SPF og DKIM og tillater innstilling av en adresse som skal brukes til å sende rapporter om e-postmeldinger sendt av serveren. Denne policyen skal brukes av alle mottakende servere og klienter.

Du finner mer informasjon om konfigurering AV Dmarc for Axigen-tjenester her.

Alle disse verktøyene er avhengige AV DNS, og måten de fungerer på etter at alt oppsettet er tatt vare på, er som følger:

SPF

  • VED mottak hentes HELO-meldingen og avsenderens adresse av e-postserveren
  • e-postserveren henter EN TXT DNS-spørring mot meldingenes domene SPF-oppføring
  • de hentede spf-oppføringsdataene brukes deretter til å bekrefte sendingsserveren
  • hvis denne sjekken mislykkes, vil meldingen bli avvist med informasjon om avvisningen

dkim

  • når du sender en melding, kontrollerer den siste serveren i domeneinfrastrukturen de interne innstillingene hvis domenet som brukes I “FRA:”header er faktisk inkludert i sin “signering tabell”. Hvis denne sjekken mislykkes, stopper alt her
  • en overskrift kalt “DKIM-Signatur” legges til meldingsoverskriftslisten ved å generere en signatur ved hjelp av den private delen av nøkkelen på innholdet i meldingen
  • etter dette punktet kan meldingens hovedinnhold ikke endres, ELLER dkim-Signaturhodet vil ikke være riktig lenger, og godkjenning vil mislykkes.
  • ved mottak av meldingen vil mottakerserveren lage EN DNS-spørring for å hente den offentlige nøkkelen som brukes I Dkim-Signaturen
  • Etter AT dkim-hodet Kan brukes til å avgjøre om meldingen ble endret under overføring eller om den er pålitelig

DMARC

  • ved mottak vil mottakerserveren sjekke om en melding er endret. dmarc-policyen er publisert i domenet som Brukes av spf-og / eller dkim-kontrollene
  • hvis en ELLER BEGGE SPF / Dkim-Kontrollene Lykkes, men Ikke Er I Samsvar Med dmarc-policyen, anses SJEKKEN som mislykket, ellers, hvis DE er også justert MED dmarc-policyen, er sjekken vellykket
  • ved feil, basert på hvilken handling som er publisert AV dmarc-policyen, kan ulike handlinger tas

selv om du har et perfekt funksjonelt system og alle ovennevnte verktøy satt opp og kjører jevnt, kan du ikke være 100% sikker fordi ikke alle serverne der ute bruker disse verktøyene.

Innholdsfiltrering

Innholdsfiltre lar deg skanne og inspisere innkommende / utgående meldinger og utføre tilsvarende handlinger basert på resultatene automatisk.

Tjenester som disse skanner hovedsakelig innholdet i e-postmeldingen og bestemmer om innholdet samsvarer med spamfiltre og blokkerer meldingen fra å nå innboksen. Skanninger ser også på bildemetadata og overskrifter, samt meldingstekstinnholdet.

cyren-antivirus-antispam-brochure

Axigen gir innebygd premium AntiVirus og AntiSpam filtrering, som kommer pre-pakket og er fullt integrert og konfigurerbar Fra WebAdmin:

  • Axigens Premium AntiSpam og AntiVirus (drevet Av Cyren) og
  • Kaspersky AntiSpam og AntiVirus.

Du kan også integrere tredjeparts produkter så lenge De Er Milter i stand, eller til og med bruke skybaserte tjenester som en gateway foran e-postserveren din.

det er viktig å merke seg at innholdsfiltrering er mer ressurskrevende, og derfor er det viktig å også implementere de andre lagene som filtrerer ut e-postmeldinger før de når innholdsfilteret ditt.

Sikring Av Utgående E-Posttrafikk

Send Og Motta Restriksjoner

Grenser kan brukes på meldingene som sendes av brukerne du er vert for på e-postserveren. Du kan kontrollere den maksimale størrelsen som en melding kan ha i sin helhet eller størrelsen på en meldings individuelle deler eller begge disse tingene. Du kan for eksempel kontrollere den maksimale størrelsen på meldingshodet eller vedleggene, eller angi en grense for maksimalt antall mottakere som en bruker kan legge til i en utgående melding.

videre, Og enda viktigere, som administrator, kan du opprette sendekvoter (med unntak) som sikrer at Din Rettferdige Brukspolicy håndheves automatisk.

du kan lese mer om hvordan du konfigurerer disse begrensningene i Axigen WebAdmin her.

Utgående Spambeskyttelse

å ha kontroll over hva som går ut av e-postservere er like viktig som å vite hva som kommer inn. Så har en policy å skanne utgående meldinger samt innkommende meldinger er viktig fordi det kan stoppe noen fra å sende spam-meldinger og som sådan tiltrekke uønskede konsekvenser på deg.

Mer om dette emnet i min artikkel På LinkedIn her.

Sikring Av Postboksadgang

Webmail Tofaktorautentisering (2fa)

Å sørge for at brukerkontoene dine er sikre, selv om DU sannsynligvis bruker SSL/TLS, er viktig fordi noen ganger brukerpassord ikke er de sterkeste.

Ved Siden Av At Axigen støtter konfigurerbare Passordpolicyer, kan aktivering av tofaktorautentisering i stor grad forbedre kontosikkerheten til hver bruker og beskytte dataene sine mot ondsinnede tredjeparter som ellers kunne få tilgang til kontoen sin fordi De kanskje har fått passordet sitt fra en annen tjeneste de brukte som hadde en sikkerhetsbakdør.

Axigen gir Støtte For Tofaktorautentisering for brukerkontoer.

SSL / TLS Lyttere

det er svært viktig at lytterne dine er konfigurert riktig med gode SSL-versjoner og cypher-suiter. Den Axigen server kommer med alt satt opp, og vi anbefaler at du alltid holde serveren oppdatert for å sikre AT SSL lyttere Er A-klasse.

Imap-Kryptering Og Autentisering Anbefalte Innstillinger

Bruk av en kryptert tilkobling med StartTLS aktivert er den beste måten å sikre at dataene dine og klientene dine er beskyttet og ikke kan leses av en ondsinnet tredjepart.

Axigen WebAdmin tillater kontroll over innstillingene for kryptering og godkjenning av e-postserveren.

Beskyttelse Mot Brute Force Angrep

et brute force angrep er en type cyber-angrep der en ondsinnet tredjepart prøver forskjellige passord og passord ved hjelp av et automatisert skript til de finner den rette kombinasjonen for å få tilgang til en konto eller tjeneste. Det kan ha eksistert lenge, men det er fortsatt veldig populært på grunn av hvor effektivt det er mot svake passord, og Derfor Er Tofaktorautentisering en viktig funksjon å ha på brukerkontoer.

Fail2Ban (Linux) og RDPGuard (Windows) er inntrengingsforebyggende systemer som gir beskyttelse for brute-force-angrep på e-postservere. Ved å overvåke loggfiler og blokkere IP-adresser til verter som utfører for mange påloggingsforsøk, eller for mange tilkoblinger på kort tid som er definert av administratoren av e-postserveren.

Mer om hvordan Du konfigurerer Din Axigen server til Å bruke Fail2Ban På Linux Eller hvordan du konfigurerer Din Axigen server til å bruke RDPGuard På Windows

Brannmur

en av de kritiske og virkelig obligatoriske sikkerhetskontrollene på nettverksnivå er brannmuren. En Brannmur bør ha avanserte vedvarende trusselanalysefunksjoner, da De er i stand til å oppdage nulldagssikkerhetsangrep. Det er en god praksis å kjøre intrusion detection systems (IDS) også. En e – post security gateway er nødvendig for å skjerme innkommende / utgående e-posttrafikk.

Brannmurfiltreringsregler kan brukes til å nekte / tillate spesifikk e-posttrafikk. Dette er nyttig for å stoppe serveren fra å bli en stafett og sende masse spam e-post. Pakkefiltreringsregler bidrar til å stoppe DDoS-og DoS-angrep.

Axigen har en intern komponent for brannmuren på programnivå som håndterer dette for deg som en del av serverens sikkerhetslag.

du kan lese mer om konfigurasjonsalternativene som er tilgjengelige I WebAdmin for den innebygde brannmuren i Delen Flytkontroll på denne dokumentasjonssiden.

Konklusjon

en sikker e-postserver har i hovedsak både sikkerhetskontroller på nettverk og servernivå. Det er en standard praksis å konfigurere og vedlikeholde din egen e-postserver. Noen organisasjoner velger imidlertid å kjøpe hyllevare e-postserverløsninger. Hvis du vurderer dette alternativet, bør sikkerhet være din høyeste vurdering.

Det er ikke noe helt sikkert system hvor som helst i verden. Noen e-postprogramvareløsninger gir imidlertid omfattende pakker som dekker sikkerhet på alle lag, inkludert nettverks-og servernivåer.

en svært sikker e-postserverløsning bør ha:

  • brannmurregler
  • sikker e-post gateway
  • kontroller på servernivå, inkludert kryptering, anti-spam / anti-phishing / antivirus, samt en overvåkings -, analysetjeneste.

En av de beste løsningene er Den sikre e-postserverløsningen Som Tilbys Av Axigen, som Du kan finne ut mer om her.

Leave a Reply