Hoe Beveilig Ik Mijn Mailserver? Een uitgebreide gids
het beveiligen van inkomend e-mailverkeer
het versleutelen van een e-mailserver en het versleutelen van e-mailverkeer zijn eigenlijk twee verschillende dingen. Een beveiligde e-mailserver vereist encryptie tijdens de overdracht, encryptie van e-mail, encryptie van opgeslagen e-mails.
encryptie aan de eindgebruiker
PGP/MIME en S / MIME zijn twee opties voor het versleutelen van e-mails end-to-end. Deze twee opties gebruiken op certificaten gebaseerde encryptie voor e-mails vanaf het moment dat ze afkomstig zijn van het apparaat van de eindgebruiker totdat ze worden ontvangen op het apparaat van de eindgebruiker van de ontvanger..
S / MIME gebruikt een publieke sleutel of asymmetrische cryptografie, evenals digitale certificaten voor e-mails. Certificaten helpen bij het verifiëren van de afzender van de e-mail.
Authenticatiereferenties encryptie
Axigen, als een van de toonaangevende aanbieders van e-mailserversoftware, gebruikt CRAM-MD5, DIGEST-MD5 en GSSAPI voor e-mailreferenties encryptie. Lees meer over Axigen mail server security op onze speciale pagina.
SMTP-Aanmeldingsauthenticatie is vereist om de afzender correct te identificeren en om ervoor te zorgen dat uw e-mailserver geen open relay wordt die door derden wordt misbruikt.
voor versleuteling via e-mail is TLS de de facto standaard. Het kan en moet worden gebruikt om verkeer te beveiligen voor webmail, IMAP, en andere client toegangsprotocollen.
SMTP-diensten
Simple Mail Transfer Protocol (of SMTP) is het voorkeursprotocol dat door de meeste e-mailclients wordt gebruikt om berichten naar een e-mailserver te verzenden, evenals e-mailservers die berichten verzenden / doorgeven van de ene server naar de andere op weg naar de aangewezen gebruiker.
hier zijn de meest voorkomende beveiligingsproblemen bij het verzenden van e-mails:
- ongeautoriseerde toegang tot uw e-mails en gegevenslekkage
- Spam en Phishing
- Malware
- DoS-aanvallen
SSL (Secure Sockets Layer) is een cryptografisch protocol ontwikkeld door Netscape in 1995. Aangezien alle SSL-versies momenteel veel bekende en exploiteerbare kwetsbaarheden hebben, wordt niet langer aanbevolen voor productiegebruik. Het beveiligen van transmissie met TLS is de huidige de facto standaard: aanbevolen TLS-versies zijn 1.1, 1.2 en, de nieuwste en veiligste, 1.3.
SSL / TLS versleutelt de berichten tussen de e-mailclient en de e-mailserver en tussen e-mailservers. Als de versleutelde SMTP-communicatie wordt geregistreerd door een kwaadaardige derde partij, die partij ziet alleen wat lijkt te zijn willekeurige tekens die de e-mail inhoud te vervangen, wat betekent dat uw contacten en bericht gegevens nog steeds beschermd en onleesbaar.
Axigen ondersteunt ook een TLS-extensie genaamd Perfect Forward Secrecy, die een kenmerk is van specifieke sleutelovereenkomsten die de verzekering geven dat sessiesleutels niet zullen worden gecompromitteerd, zelfs als langetermijngeheimen die in de sessiesleutelsuitwisseling worden gebruikt, worden gecompromitteerd. In lekentaal, als de privésleutels die op de server zijn opgeslagen verloren gaan of geschonden worden, zijn eerder opgenomen versleutelde SMTP-sessies nog steeds niet te ontcijferen.
vanaf versie X2 kan Axigen de Let’ s Encrypt-service gebruiken om SSL-certificaten te genereren, die automatisch worden vernieuwd voordat ze verlopen.
vanaf versie X3 staat Axigen certificaatbeheer toe vanaf de WebAdmin, waardoor u certs of CSR ‘ s kunt maken, vernieuwen of verwijderen, en ook kunt bekijken en configureren waar elk certificaat moet worden gebruikt — dat wil zeggen service listener, virtuele host, of het beveiligen van SMTP-verbindingen bij levering via een smart host.
Lees meer over het beveiligen van uw SMTP-diensten met behulp van Axigen.
dnsbl en URIBL
Domain Name System Blacklist (dnsbl) of Real-time Blackhole List (RBL) is in wezen een service die een zwarte lijst van bekende domeinen en IP-adressen die de reputatie van een bron van spam. Meestal mailserver software kan worden geconfigureerd om een of meer van deze lijsten te controleren.
een DNSBL is meer een softwaremechanisme dan een specifieke lijst. Er zijn er veel, die een breed scala van criteria die een adres zou kunnen krijgen vermeld of niet-vermeld: een lijst van de adressen van machines die worden gebruikt om spam te verzenden, internet service providers (ISP ‘ s) zijn bekend dat spammers hosten, enz.
- de Spamhaus DBL is een dienst die domeinen in spamberichten op de zwarte lijst plaatst en een slechte reputatie heeft.
- de URIBL-service is een lijst van domeinen die zijn gedetecteerd als het verzenden van spam-e-mail
DNSBL-servers staan op de zwarte lijst als spammers, en wanneer u een server als een server definieert, worden e-mails van dergelijke servers automatisch verwijderd.
Axigen biedt ook twee van dergelijke diensten aan hun klanten: aDNSBL en aURIBL, deze twee zijn premium IP gebaseerde dnsbl en URIBL lijsten, beheerd en samengesteld door Axigen en ze kunnen worden gebruikt door Axigen klanten die zich abonneren op deze optionele diensten.
SPF, DKIM, en DMARC
SPF (Sender Policy Framework) is een DNS TXT-regel met een lijst van servers die geacht moeten worden e-mail te mogen verzenden namens een specifiek domein. Een DNS-vermelding zijn kan worden beschouwd als een manier om af te dwingen dat de invoerlijst betrouwbaar is voor het domein, omdat de enige personen die die domeinzone mogen toevoegen of wijzigen, de eigenaars of beheerders van het domein zijn.
meer informatie over het configureren van SPF voor de Axigen services kunt u hier vinden.
DKIM (DomainKeys Identified Mail) is een methode om te controleren of de inhoud van de berichten betrouwbaar is, waaruit blijkt dat de inhoud niet is gewijzigd vanaf het moment dat het bericht de oorspronkelijke mailserver verliet en totdat het de bestemming bereikte. Deze extra consistentielaag wordt bereikt door het gebruik van een standaard publieke / private sleutel ondertekeningsproces. Net als in het geval van de SPF voegen de eigenaars of beheerders van het domein een DNS-record toe met de publieke DKIM-sleutel die door ontvangers wordt gebruikt om te controleren of de DKIM-handtekening van het bericht correct is, en aan de afzenderzijde gebruikt de server de private sleutel die overeenkomt met de publieke sleutel in het DNS-record om de e-mailberichten te ondertekenen.
meer informatie over het configureren van DKIM voor Axigen services kunt u hier vinden.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een protocol dat SPF en DKIM gebruikt om te bepalen of het e-mailbericht authentiek is. In essentie maakt het het makkelijker voor ISP ‘ s om te voorkomen dat kwaadaardige derden praktijken zoals domeinspoofing naar phish uitvoeren voor gebruikers privé-informatie.
DMARC geeft een duidelijk beleid aan over zowel SPF als DKIM en staat de instelling toe van een adres dat gebruikt moet worden om rapporten te verzenden over de e-mailberichten die door de server worden verzonden. Dit beleid moet worden gebruikt door alle ontvangende servers en clients.
meer informatie over het configureren van DMARC voor Axigen services kunt u hier vinden.
al deze tools zijn sterk afhankelijk van DNS en de manier waarop ze werken nadat alle installatie is verzorgd is als volgt:
SPF
- bij ontvangst, de HELO bericht en het adres van de afzender zijn opgehaald door de mail server
- de mail server haalt een TXT DNS-query ‘s tegen de berichten’ domein SPF item
- de opgehaalde SPF invoer van gegevens wordt vervolgens gebruikt om te controleren of de verzendende server
- als deze controle mislukt het bericht zal worden afgewezen, met informatie over de afwijzing
DKIM
- Op het verzenden van een bericht, de laatste server in het domein van de infrastructuur controles tegen de interne instellingen als het domein dat wordt gebruikt in de “Uit:”header is inderdaad opgenomen in de”signing table”. Als deze controle mislukt, stopt alles hier
- een header met de naam “DKIM-Signature” wordt toegevoegd aan de berichtkoplijst door een ondertekening te genereren met behulp van het privégedeelte van de sleutel op de inhoud van het bericht
- na dit punt kan de hoofdinhoud van het bericht niet worden gewijzigd of zal de header van DKIM-Signature niet meer correct zijn en zal de authenticatie mislukken.
- bij ontvangst van het bericht, de ontvangende server een DNS-query voor het ophalen van de publieke sleutel die gebruikt wordt in de DKIM-Handtekening
- Na dat de DKIM-header kan worden gebruikt om te bepalen wanneer het bericht werd gewijzigd in doorvoer of als betrouwbaar
DMARC
- bij de receptie, de ontvangende server zal controleren of een DMARC-beleid is gepubliceerd in het domein dat wordt gebruikt door de SPF en / of DKIM controleert
- indien één of beide SPF / DKIM controles slagen, maar zijn niet in lijn met de DMARC-beleid, dan is de check wordt beschouwd als een mislukte, anders, als ze ook uitgelijnd met het DMARC beleid dan is de controle succesvol
- bij een fout, gebaseerd op welke actie wordt gepubliceerd door het DMARC beleid, kunnen verschillende acties worden ondernomen
zelfs als u een perfect functionerend systeem hebt en alle hierboven genoemde tools soepel zijn ingesteld en draaien, kunt u niet 100% veilig zijn omdat niet alle servers die er zijn deze tools gebruiken.
inhoudsfiltering
inhoudsfilters stellen u in staat om inkomende / uitgaande berichten te scannen en te inspecteren en overeenkomstige acties te ondernemen op basis van de resultaten automatisch.
diensten zoals deze scannen voornamelijk de inhoud van het e-mailbericht en beslissen of de inhoud overeenkomt met spamfilters en blokkeren het bericht om het postvak in te bereiken. Scans kijken ook naar afbeeldingsmetadata en headers, evenals de tekstinhoud van het bericht.
Axigen biedt ingebouwde premium AntiVirus en AntiSpam filtering, die komen voorverpakt en zijn volledig geïntegreerd en instelbaar vanaf de WebAdmin:
- Axigen is Premium AntiSpam en AntiVirus (aangedreven door Cyren) en
- Kaspersky AntiSpam en AntiVirus.
u kunt ook producten van derden integreren zolang ze Milter-compatibel zijn, of zelfs cloudgebaseerde diensten gebruiken als gateway voor uw e-mailserver.
het is belangrijk op te merken dat het filteren van inhoud meer resource-intensief is, daarom is het belangrijk om ook de andere lagen te implementeren die e-mails filteren voordat u uw inhoudfilter bereikt.
beveiliging van uitgaand e-mailverkeer
beperkingen voor verzenden en ontvangen
limieten kunnen worden toegepast op de berichten die worden verzonden door de gebruikers die u host op uw e-mailserver. U kunt de maximale grootte die een bericht kan hebben in zijn geheel of de grootte van afzonderlijke delen van een bericht of zelfs beide dingen. U kunt bijvoorbeeld de maximale grootte van de berichtkop of de bijlagen bepalen of een limiet instellen voor het maximale aantal ontvangers dat een gebruiker aan een uitgaand bericht kan toevoegen.
bovendien, en nog belangrijker, als beheerder, kunt u verzendquota maken (met uitzonderingen) die ervoor zorgen dat uw Fair Use Policy automatisch wordt afgedwongen.
u kunt hier meer lezen over het instellen van deze beperkingen in Axigen WebAdmin.
bescherming tegen uitgaande spam
controle hebben over wat er uit uw e-mailservers gaat is net zo belangrijk als weten wat er binnenkomt. Dus het hebben van een beleid om de uitgaande berichten en de inkomende berichten te scannen is belangrijk omdat het kan voorkomen dat iemand spamberichten verzendt en als zodanig ongewenste gevolgen voor u aantrekt.
meer over dit onderwerp in mijn artikel op LinkedIn hier.
toegang voor postbussen beveiligen
Webmail Two Factor Authentication (2FA)
ervoor zorgen dat uw gebruikersaccounts veilig zijn, ook al gebruikt u waarschijnlijk SSL/TLS, is belangrijk omdat gebruikerswachtwoorden soms niet de sterkste zijn.
naast het feit dat Axigen configureerbaar wachtwoordbeleid ondersteunt, kan het inschakelen van tweefactorauthenticatie de accountbeveiliging van elke gebruiker aanzienlijk verbeteren en hun gegevens beschermen tegen kwaadwillige derden die anders toegang zouden krijgen tot hun account omdat ze mogelijk hun wachtwoord hebben gekregen van een andere dienst die ze gebruikten die een beveiligingsachterdeur had.
Axigen biedt ondersteuning voor twee-Factor authenticatie voor gebruikersaccounts.
SSL/TLS-luisteraars
het is erg belangrijk dat uw luisteraars correct zijn geconfigureerd met goede SSL-versies en cypher-suites. De Axigen server wordt geleverd met alles wat is ingesteld en we raden u aan om de server altijd up-to-date te houden om ervoor te zorgen dat uw SSL luisteraars A-grade zijn.
IMAP-versleuteling en authenticatie aanbevolen instellingen
het gebruik van een versleutelde verbinding met STARTTLS is de beste manier om ervoor te zorgen dat uw en uw clients gegevens worden beschermd en niet kunnen worden gelezen door een kwaadwillende derde partij.
Axigen WebAdmin maakt controle over de instellingen van de encryptie en authenticatie van de mailserver mogelijk. U kunt de aanbevolen instellingen voor het configureren van IMAP op deze documentatiepagina zien.
beschermen tegen Brute Force aanvallen
een brute-force aanval is een type cyberaanval waarbij een kwaadwillende derde verschillende wachtwoorden en wachtzinnen probeert met behulp van een geautomatiseerd script totdat ze de juiste combinatie vinden om toegang te krijgen tot een account of dienst. Het kan zijn geweest voor een lange tijd, maar het is nog steeds erg populair vanwege hoe effectief het is tegen zwakke wachtwoorden, dat is de reden waarom twee Factor authenticatie is een belangrijke functie te hebben op Gebruikersaccounts.
Fail2Ban (Linux) en RDPGuard (Windows) zijn inbraakpreventiesystemen die bescherming bieden voor brute-force-aanvallen op mailservers. Door het monitoren van logbestanden en het blokkeren van IP-adressen van hosts die te veel inlogpogingen Uitvoeren, of te veel verbindingen in een korte periode die wordt gedefinieerd door de beheerder van de mailserver.
meer informatie over hoe u uw Axigen server instelt om Fail2Ban te gebruiken onder Linux of hoe u uw Axigen server instelt om RDPGuard te gebruiken onder Windows
Firewall
een van de cruciale en echt verplichte beveiligingscontroles op netwerkniveau is de firewall. Een Firewall moet geavanceerde functies voor persistent threat analysis hebben, omdat ze zero-day beveiligingsaanvallen kunnen detecteren. Het is een best practice om intrusion detection systems (IDS) ook uit te voeren. Een e-mail security gateway is vereist om inkomend / uitgaand e-mailverkeer te screenen.
Firewallfilterregels kunnen worden gebruikt om specifiek e-mailverkeer te weigeren / toe te staan. Dit is handig om te voorkomen dat de server een relais wordt en massa spam e-mails verzendt. Pakketfilterregels helpen DDoS-en DoS-aanvallen te stoppen.
Axigen heeft een interne component voor de firewall op toepassingsniveau die dit voor u afhandelt als onderdeel van de beveiligingslagen van de server.
u kunt meer lezen over de configuratieopties die beschikbaar zijn in de WebAdmin voor de ingebouwde firewall in de sectie Flow control van deze documentatiepagina.
conclusie
een beveiligde e-mailserver heeft in wezen zowel beveiligingscontroles op netwerk-als serverniveau. Het is een standaardpraktijk om uw eigen e-mailserver te configureren en te onderhouden. Echter, sommige organisaties ervoor kiezen om off-the-shelf e-mail server software oplossingen te kopen. Als u deze optie overweegt, dient Beveiliging uw hoogste overweging te zijn.
er is nergens ter wereld een volledig veilig systeem. Sommige e-mailsoftwareoplossingen bieden echter uitgebreide pakketten voor beveiliging op alle lagen, inclusief netwerk-en serverniveaus.
een zeer veilige e-mailserveroplossing moet:
- firewallregels
- beveiligde e-mailgateway
- controle op serverniveau, waaronder encryptie, anti-spam / anti-phishing / antivirus en een monitoring -, analysedienst.
een van de beste oplossingen is de beveiligde e-mailserveroplossing van Axigen, waarover u hier meer kunt weten.
Leave a Reply