Jak Zabezpieczyć Mój Serwer Pocztowy? Kompleksowy przewodnik
zabezpieczanie przychodzącego ruchu e-mail
Szyfrowanie serwera pocztowego i szyfrowanie ruchu e-mail to dwie różne rzeczy. Bezpieczny serwer poczty e-mail wymaga szyfrowania podczas przesyłania, szyfrowania wiadomości e-mail i szyfrowania zapisanych wiadomości e-mail.
Szyfrowanie Po Stronie Użytkownika
PGP/MIME i S/MIME to dwie opcje szyfrowania wiadomości e-mail od końca do końca. Te dwie opcje używają szyfrowania opartego na certyfikatach dla wiadomości e-mail od momentu ich wysłania z urządzenia użytkownika końcowego do momentu ich otrzymania na urządzeniu użytkownika końcowego odbiorcy..
S/MIME używa klucza publicznego lub kryptografii asymetrycznej, a także certyfikatów cyfrowych dla wiadomości e-mail. Certyfikaty pomagają uwierzytelnić nadawcę wiadomości e-mail.
Szyfrowanie poświadczeń uwierzytelniania
Axigen, jako jeden z wiodących dostawców oprogramowania do serwerów poczty e-mail, używa CRAM-MD5, DIGEST-MD5 i GSSAPI do szyfrowania poświadczeń poczty e-mail. Przeczytaj więcej na temat bezpieczeństwa serwera pocztowego Axigen na naszej dedykowanej stronie.
uwierzytelnianie SMTP jest wymagane, aby prawidłowo zidentyfikować nadawcę i upewnić się, że serwer poczty e-mail nie stanie się otwartym przekaźnikiem nadużywanym przez strony trzecie.
w przypadku szyfrowania poczty e-mail de facto standardem jest TLS. Może i powinien być używany do zabezpieczania ruchu dla usługi webmail, IMAP i innych protokołów dostępu klienta.
usługi SMTP
Simple Mail Transfer Protocol (lub SMTP) to protokół używany przez większość klientów poczty e-mail do przesyłania wiadomości do serwera poczty e-mail, a także serwerów e-mail wysyłających / przekazujących wiadomości z jednego serwera na drugi w drodze do wyznaczonego użytkownika.
oto najczęściej występujące problemy z bezpieczeństwem podczas przesyłania wiadomości e-mail:
- nieautoryzowany dostęp do wiadomości e-mail i wyciek danych
- Spam i Phishing
- złośliwe oprogramowanie
- ataki DoS
SSL (Secure Sockets Layer) jest protokołem kryptograficznym opracowanym przez Netscape w 1995 roku.zabezpieczenia warstwy). Ponieważ wszystkie wersje SSL mają obecnie wiele znanych i możliwych do wykorzystania luk w zabezpieczeniach, nie jest już zalecane do użytku produkcyjnego. Zabezpieczenie transmisji za pomocą TLS jest aktualnym standardem de facto: zalecane wersje TLS to 1.1, 1.2 oraz, najnowsza i najbezpieczniejsza, 1.3.
SSL/TLS szyfruje wiadomości między klientem poczty e-mail a serwerem poczty e-mail, a także między serwerami poczty e-mail. Jeśli zaszyfrowana komunikacja SMTP jest rejestrowana przez złośliwą stronę trzecią, ta strona zobaczy tylko to, co wydaje się być losowymi znakami, które zastępują zawartość wiadomości e-mail, co oznacza, że Twoje kontakty i dane wiadomości są nadal chronione i nieczytelne.
Axigen obsługuje również rozszerzenie TLS o nazwie Perfect Forward Secrecy, które jest cechą określonych protokołów umowy kluczowej, która daje pewność, że klucze sesji nie zostaną naruszone, nawet jeśli zostaną naruszone długoterminowe sekrety używane w wymianie kluczy sesji. Jeśli klucze prywatne przechowywane na serwerze zostaną utracone lub naruszone, wcześniej zapisane zaszyfrowane sesje SMTP są nadal nieczytelne.
począwszy od wersji X2, Axigen może korzystać z usługi Let ‘ s Encrypt do generowania certyfikatów SSL, które są automatycznie odnawiane przed wygaśnięciem.
od wersji X3, Axigen umożliwia zarządzanie certyfikatami z WebAdmin, umożliwiając w ten sposób tworzenie, odnawianie lub usuwanie certyfikatów lub CSR, a także przeglądanie i konfigurowanie, gdzie każdy certyfikat ma być używany — np. service listener, virtual host lub zabezpieczanie połączeń SMTP podczas dostarczania za pośrednictwem inteligentnego hosta.
dowiedz się więcej o zabezpieczaniu usług SMTP za pomocą Axigen.
DNSBL i URIBL
System nazw domen Czarna lista (DNSBL) lub czarna lista w czasie rzeczywistym (RBL) jest w istocie usługą, która zapewnia czarną listę znanych domen i adresów IP, które mają reputację źródła spamu. Zazwyczaj oprogramowanie serwera pocztowego można skonfigurować, aby sprawdzić jedną lub więcej z tych ofert.
DNSBL jest raczej mechanizmem programowym niż konkretną listą. Istnieje wiele, które używają szerokiego wachlarza kryteriów, które mogą uzyskać adres wymieniony lub nienotowany: lista adresów maszyn używanych do wysyłania spamu, dostawcy usług internetowych (ISP) są znani z hostowania spamerów itp.
- Spamhaus DBL to usługa, która na czarnej liście znajduje się domeny Znalezione w wiadomościach spamowych i wymienione jako mające słabą reputację.
- usługa URIBL to lista domen wykrytych jako wysyłające spam e-mail
serwery DNSBL są na czarnej liście jako spamerzy, a gdy zdefiniujesz serwer jako jeden, wiadomości e-mail z takich serwerów są automatycznie usuwane.
Axigen oferuje również dwie takie usługi swoim klientom: aDNSBL i aURIBL, te dwie są listami DNSBL i uribl bazującymi na IP premium, obsługiwanymi i kuratorowanymi przez Axigen i mogą być używane przez klientów Axigen, którzy subskrybują te opcjonalne usługi.
SPF, DKIM i DMARC
SPF (Sender Policy Framework) jest wpisem DNS TXT, który zawiera listę serwerów, które powinny być uważane za dopuszczone do wysyłania poczty w imieniu określonej domeny. Bycie wpisem DNS można uznać za sposób na wymuszenie faktu, że lista wpisów jest godna zaufania dla domeny, ponieważ jedynymi osobami, które mogą dodać lub zmienić tę strefę domeny, są właściciele lub Administratorzy domeny.
więcej informacji na temat konfigurowania SPF dla usług Axigen można znaleźć tutaj.
DKIM (DomainKeys Identified Mail) to metoda sprawdzania, czy zawartość wiadomości jest godna zaufania, pokazująca, że zawartość nie została zmodyfikowana od momentu opuszczenia początkowego serwera pocztowego i do momentu dotarcia do miejsca docelowego. Ta dodatkowa warstwa spójności jest osiągana poprzez zastosowanie standardowego procesu podpisywania kluczy publicznych / prywatnych. Podobnie jak w przypadku SPF, właściciele lub Administratorzy domeny dodają rekord DNS, który zawiera publiczny klucz DKIM, który będzie używany przez odbiorników do weryfikacji poprawności podpisu DKIM wiadomości, a po stronie nadawcy serwer użyje klucza prywatnego odpowiadającego kluczowi publicznemu obecnemu w rekordzie DNS do podpisywania wiadomości pocztowych.
więcej informacji na temat konfigurowania DKIM dla usług Axigen można znaleźć tutaj.
DMARC (domain-based Message Authentication, Reporting, and Conformance) to protokół, który używa SPF i DKIM do określenia, czy wiadomość e-mail jest autentyczna. Zasadniczo ułatwia to dostawcom usług internetowych zapobieganie złośliwym stronom trzecim w wykonywaniu praktyk, takich jak fałszowanie domen w celu wyłudzania prywatnych informacji użytkowników.
DMARC określa jasne zasady dotyczące zarówno SPF, jak i DKIM i pozwala na ustawienie adresu, który powinien być używany do wysyłania raportów o wiadomościach pocztowych wysyłanych przez serwer. Ta zasada powinna być stosowana przez wszystkie serwery i klientów odbierających.
więcej informacji na temat konfigurowania DMARC dla usług Axigen można znaleźć tutaj.
wszystkie te narzędzia w dużej mierze opierają się na DNS, a sposób ich działania po zakończeniu konfiguracji wygląda następująco:
SPF
- po otrzymaniu wiadomości HELO i adres nadawcy są pobierane przez serwer pocztowy
- serwer pocztowy pobiera zapytanie DNS TXT przeciwko wpisowi domeny wiadomości SPF
- pobrane dane wejściowe SPF są następnie wykorzystywane do weryfikacji serwera wysyłającego
- jeśli to sprawdzenie nastąpi, serwer pocztowy pobiera komunikat zostanie odrzucony z informacją o odrzuceniu
DKIM
- podczas wysyłania wiadomości ostatni serwer w infrastrukturze domeny sprawdza swoje wewnętrzne ustawienia, czy domena, która jest używana w “from:”nagłówek jest rzeczywiście zawarty w “tabeli podpisywania”. Jeśli ta kontrola nie powiedzie się, wszystko zatrzyma się tutaj
- nagłówek o nazwie “DKIM-Signature” jest dodawany do listy nagłówków wiadomości poprzez wygenerowanie podpisu przy użyciu prywatnej części klucza na treści wiadomości
- po tym punkcie nie można modyfikować głównej zawartości wiadomości lub nagłówek DKIM-Signature nie będzie już poprawny i uwierzytelnianie nie powiedzie się.
- po odebraniu wiadomości, serwer odbierający wyśle zapytanie DNS w celu pobrania klucza publicznego używanego w podpisie DKIM
- po tym nagłówku DKIM można użyć, aby zdecydować, czy wiadomość została zmieniona w tranzycie, czy jest godna zaufania
DMARC
- po otrzymaniu, serwer odbierający sprawdzi, czy wiadomość została Polityka DMARC jest publikowana w domenie używanej przez sprawdzanie SPF i / lub DKIM
- jeśli jedno lub oba sprawdzanie SPF / DKIM powiedzie się, ale nie jest zgodne z Polityką DMARC, to sprawdzanie jest uważane za nieudane, w przeciwnym razie, jeśli są również dostosowane do polityki DMARC następnie sprawdzanie jest pomyślne
- w przypadku awarii, w oparciu o to, jakie działanie jest publikowane przez politykę DMARC, można podjąć różne działania
nawet jeśli masz doskonale funkcjonalny system i wszystkie wyżej wymienione narzędzia są skonfigurowane i działają płynnie, nie możesz być w 100% bezpieczny, ponieważ nie wszystkie serwery tam używają tych narzędzi.
Filtrowanie zawartości
filtry zawartości umożliwiają skanowanie i sprawdzanie wiadomości przychodzących / wychodzących oraz automatyczne podejmowanie odpowiednich działań na podstawie wyników.
usługi takie jak te głównie skanują treść wiadomości e-mail i decydują, czy treść pasuje do filtrów antyspamowych i blokują wiadomość przed dotarciem do skrzynki odbiorczej. Skany sprawdzają również metadane obrazów i nagłówki, a także zawartość tekstu wiadomości.
Axigen zapewnia wbudowane filtrowanie antywirusowe i antyspamowe premium, które są fabrycznie zapakowane i są w pełni zintegrowane i konfigurowalne z WebAdmin:
- Premium antyspam i antywirus Axigen (zasilany przez Cyren) i
- Kaspersky antyspam i antywirus.
Możesz również zintegrować dowolne produkty innych firm, o ile są one bardziej wydajne, lub nawet użyć usług w chmurze jako bramy przed serwerem poczty e-mail.
ważne jest, aby pamiętać, że filtrowanie treści jest bardziej zasobochłonne, dlatego ważne jest, aby zaimplementować również inne warstwy, które filtrują wiadomości e-mail przed dotarciem do filtra treści.
zabezpieczanie ruchu wychodzącego wiadomości e-mail
ograniczenia wysyłania i odbierania
ograniczenia mogą być stosowane do wiadomości wysyłanych przez użytkowników hostowanych na serwerze poczty e-mail. Możesz kontrolować maksymalny rozmiar, jaki może mieć wiadomość w całości lub rozmiar poszczególnych części wiadomości, a nawet obu tych rzeczy. Możesz na przykład kontrolować maksymalny rozmiar nagłówka wiadomości lub załączników do niej lub ustawić limit maksymalnej liczby odbiorców, którą użytkownik może dodać do wiadomości wychodzącej.
ponadto, co ważniejsze, jako administrator, możesz tworzyć limity wysyłania (z wyjątkami), które zapewniają automatyczne egzekwowanie zasad uczciwego użytkowania.
możesz przeczytać więcej o konfigurowaniu tych ograniczeń w Axigen WebAdmin tutaj.
Ochrona przed spamem wychodzącym
kontrola nad tym, co wychodzi z serwerów poczty e-mail, jest równie ważna, jak wiedza o tym, co wchodzi. Tak więc posiadanie zasad skanowania wiadomości wychodzących i przychodzących jest ważne, ponieważ może powstrzymać kogoś przed wysyłaniem spamu i jako takie przyciąganie niechcianych reperkusji na Ciebie.
więcej na ten temat w moim artykule na LinkedIn tutaj.
zabezpieczanie dostępu do skrzynki pocztowej
Webmail uwierzytelnianie dwuskładnikowe (2FA)
upewnienie się, że Twoje konta użytkowników są bezpieczne, nawet jeśli prawdopodobnie używasz SSL/TLS, jest ważne, ponieważ czasami hasła użytkowników nie są najsilniejsze.
oprócz tego, że Axigen obsługuje konfigurowalne zasady haseł, włączenie uwierzytelniania dwuskładnikowego może znacznie poprawić bezpieczeństwo konta każdego użytkownika i chronić jego dane przed złośliwymi stronami trzecimi, które w przeciwnym razie mogłyby uzyskać dostęp do ich konta, ponieważ mogły uzyskać hasło z innej usługi, z której korzystali, która miała tylne drzwi bezpieczeństwa.
Axigen zapewnia obsługę uwierzytelniania dwuskładnikowego dla kont użytkowników.
słuchacze SSL/TLS
bardzo ważne jest, aby słuchacze byli poprawnie skonfigurowani z dobrymi wersjami SSL i pakietami cypher. Serwer Axigen zawiera wszystko skonfigurowane i zalecamy, aby zawsze aktualizować serwer, aby upewnić się, że słuchacze SSL są klasy A.
szyfrowanie i uwierzytelnianie IMAP Zalecane ustawienia
Korzystanie z szyfrowanego połączenia z włączonym StartTLS to najlepszy sposób na zapewnienie ochrony danych twoich i Twoich klientów i nie może być odczytane przez złośliwą stronę trzecią.
Axigen WebAdmin umożliwia kontrolę nad ustawieniami szyfrowania i uwierzytelniania serwera pocztowego, zalecane ustawienia konfiguracji IMAP można zobaczyć na tej stronie dokumentacji.
Ochrona przed atakami typu Brute Force
atak typu brute-force to rodzaj cyberataku, w którym złośliwa osoba trzecia próbuje różnych haseł i haseł za pomocą zautomatyzowanego skryptu, dopóki nie znajdzie odpowiedniej kombinacji, aby uzyskać dostęp do konta lub usługi. Może istnieć od dłuższego czasu, jednak nadal jest bardzo popularny ze względu na skuteczność w zwalczaniu słabych haseł, dlatego uwierzytelnianie dwuskładnikowe jest ważną funkcją na kontach użytkowników.
Fail2Ban (Linux) i Rdpguard (Windows) To systemy zapobiegające włamaniom, które zapewniają ochronę serwerów pocztowych przed atakami typu brute-force. Poprzez monitorowanie plików dziennika i blokowanie adresów IP hostów, które wykonują zbyt wiele prób logowania, lub zbyt wiele połączeń w krótkim okresie czasu, który jest zdefiniowany przez administratora serwera pocztowego.
więcej o tym, jak skonfigurować serwer Axigen do używania Fail2Ban w systemie Linux lub jak skonfigurować serwer Axigen do używania RDPGuard w systemie Windows
zapora ogniowa
jedną z krytycznych i naprawdę obowiązkowych kontroli bezpieczeństwa na poziomie sieci jest zapora ogniowa. Zapora sieciowa powinna mieć zaawansowane funkcje analizy trwałych zagrożeń, ponieważ może wykrywać ataki typu zero-day. Najlepszą praktyką jest również uruchamianie systemów wykrywania włamań (IDS). Do wyświetlania ruchu przychodzącego / wychodzącego wymagana jest bramka bezpieczeństwa poczty e-mail.
reguły filtrowania zapory mogą być używane do blokowania / zezwalania na określony ruch e-mail. Jest to przydatne, aby powstrzymać serwer przed przekształceniem się w przekaźnik i wysyłaniem masowych wiadomości spamowych. Reguły filtrowania pakietów pomagają zatrzymać ataki DDoS i DoS.
Axigen ma wewnętrzny komponent dla zapory na poziomie aplikacji, który obsługuje to za Ciebie jako część warstw zabezpieczeń serwera.
możesz przeczytać więcej o opcjach konfiguracyjnych dostępnych w WebAdmin dla wbudowanej zapory w sekcji Kontrola Przepływu na tej stronie dokumentacji.
wniosek
bezpieczny serwer poczty e-mail zasadniczo ma zarówno kontrolę bezpieczeństwa na poziomie sieci, jak i serwera. Standardową praktyką jest konfigurowanie i utrzymywanie własnego serwera poczty e-mail. Jednak niektóre organizacje decydują się na zakup gotowych rozwiązań do serwerów poczty e-mail. Jeśli rozważasz tę opcję, bezpieczeństwo powinno być twoim najwyższym priorytetem.
nigdzie na świecie nie ma całkowicie bezpiecznego systemu. Jednak niektóre rozwiązania oprogramowania poczty elektronicznej zapewniają kompleksowe pakiety obejmujące bezpieczeństwo na wszystkich poziomach, w tym na poziomie sieci i serwerów.
wysoce bezpieczny serwer poczty elektronicznej powinien mieć:
- Zasady zapory
- bezpieczna bramka e-mail
- kontrola na poziomie serwera, w tym szyfrowanie, antyspam / antyphishing / antywirus, a także usługa monitorowania i analizy.
jednym z najlepszych rozwiązań jest bezpieczne rozwiązanie serwera poczty e-mail oferowane przez Axigen, o którym można dowiedzieć się więcej tutaj.
Leave a Reply