Como Faço Para Proteger Meu Servidor De E-Mail? Um guia abrangente

protegendo o tráfego de E-mail de entrada

criptografar um servidor de E-mail e criptografar o tráfego de E-mail são, na verdade, duas coisas diferentes. Um servidor de E-mail seguro requer criptografia durante a transferência, criptografia de E-mail e criptografia de E-mails salvos.

criptografia do lado do Usuário Final

PGP / MIME E S/MIME são duas opções para criptografar e-mails de ponta a ponta. Essas duas opções usam criptografia baseada em certificado para E-mails a partir do momento em que são originários do dispositivo do usuário final até serem recebidos no dispositivo do usuário final do destinatário..

S / MIME usa uma chave pública ou criptografia assimétrica, bem como certificados digitais para E-mails. Os certificados ajudam a autenticar o remetente do email.

criptografia de credenciais de autenticação

Axigen, como um dos principais provedores de software de servidor de E-Mail, usa CRAM-MD5, DIGEST-MD5 e GSSAPI para criptografia de credenciais de E-mail. Leia mais sobre a segurança do Axigen mail server em nossa página dedicada.

a autenticação de envio SMTP é necessária para identificar corretamente o remetente e garantir que seu servidor de E-mail não se torne um relé aberto abusado por terceiros.

para criptografia de E-mail em trânsito, o TLS é o padrão de fato. Ele pode e deve ser usado para proteger o tráfego para webmail, IMAP e quaisquer outros protocolos de acesso ao cliente.

SMTP Services

Simple Mail Transfer Protocol (ou SMTP) é o protocolo de escolha usado pela maioria dos clientes de E-mail para enviar mensagens para um servidor de E-mail, bem como servidores de E-mails enviando / retransmitindo mensagens de um servidor para outro a caminho de seu usuário designado.

Aqui estão os problemas de segurança mais comuns ao transmitir e-mails:

  • acesso não autorizado aos seus e-mails e o vazamento de dados
  • Spam e Phishing
  • Malware
  • DoS ataques
  • SSL (Secure Sockets Layer) é um protocolo criptográfico desenvolvido pela Netscape em 1995, desenhado para fornecer segurança avançada através de rede de comunicação e é o antecessor do TLS (Transport Layer Security). Como todas as versões SSL atualmente têm muitas vulnerabilidades conhecidas e exploráveis, não é mais recomendado para uso em produção. Garantir a transmissão com TLS é o padrão atual de fato: as versões TLS recomendadas são 1.1, 1.2 e, as mais recentes e seguras, 1.3.

    SSL/TLS criptografa as mensagens entre o cliente de E-mail e o servidor de E-mail, bem como entre os servidores de E-mail. Se a comunicação SMTP criptografada for registrada por um terceiro malicioso, essa parte verá apenas o que parece ser caracteres aleatórios que substituem o conteúdo do E-mail, o que significa que seus contatos e dados da mensagem ainda estão protegidos e ilegíveis.

    Axigen também suporta uma extensão TLS chamada Perfect Forward Secrecy, que é um recurso de protocolos de acordo de chave específicos que dá garantias de que as chaves de sessão não serão comprometidas, mesmo que segredos de longo prazo usados na troca de chaves de sessão sejam comprometidos. Em termos leigos, se as chaves privadas armazenadas no servidor forem perdidas ou violadas, as sessões de SMTP criptografadas gravadas anteriormente ainda serão indecifráveis.

    lets-encrypt-certificados

    a partir da versão X2, o Axigen pode usar o serviço Let’s Encrypt para gerar certificados SSL, que são renovados automaticamente antes da expiração.

    da versão X3, o Axigen permite o gerenciamento de certificados do WebAdmin, permitindo criar, renovar ou excluir certificados ou CSRs, bem como visualizar e configurar onde cada certificado deve ser usado — ou seja, ouvinte de serviço, host virtual ou proteger conexões SMTP ao entregar por meio de um host inteligente.

    leia mais sobre como proteger seus serviços SMTP usando Axigen.

    DNSBL e URIBL

    Lista negra do sistema de nomes de domínio (DNSBL) ou Lista negra em tempo Real (RBL) é, em essência, um serviço que fornece uma lista negra de domínios conhecidos e endereços IP que têm a reputação de serem uma fonte de spam. Normalmente, o software do servidor de correio pode ser configurado para verificar uma ou mais dessas listagens.

    um DNSBL é mais um mecanismo de software, em vez de uma lista específica. Existem muitos, que usam uma ampla gama de critérios que podem obter um endereço listado ou não listado: listando os endereços das máquinas que estão sendo usadas para enviar spam, provedores de serviços de internet (ISPs) são conhecidos por hospedar spammers, etc.

    • o Spamhaus DBL é um serviço que lista os domínios encontrados em mensagens de spam e listado como tendo uma má reputação.
    • o serviço URIBL é uma lista de domínios detectados como envio de E-mail de spam

    os servidores DNSBL estão na lista negra como spammers e, quando você define um servidor como um, os e-mails desses servidores são automaticamente descartados.

    a Axigen também oferece dois desses serviços aos seus clientes: aDNSBL e aURIBL, esses dois são listas DNSBL e URIBL baseadas em IP premium, operadas e selecionadas pela Axigen e podem ser usadas pelos clientes da Axigen que assinam esses serviços opcionais.

    SPF, DKIM e DMARC

    SPF (Sender Policy Framework) é uma entrada DNS TXT que possui uma lista de servidores que devem ser considerados como tendo permissão para enviar e-mails em nome de um domínio específico. Ser uma entrada DNS pode ser considerada como uma maneira de impor o fato de que a lista de entrada é confiável para o domínio, pois as únicas pessoas autorizadas a adicionar ou alterar essa zona de domínio são os proprietários ou administradores do domínio.

    mais informações sobre a configuração do SPF para os Serviços Axigen podem ser acessadas aqui.

    DKIM (DomainKeys Identified Mail) é um método para verificar se o conteúdo das mensagens é confiável, mostrando que o conteúdo não foi modificado a partir do momento em que a mensagem deixou o servidor de email inicial e até chegar ao destino. Essa camada adicional de consistência é realizada pelo uso de um processo padrão de assinatura de chave pública / privada. Como no caso dos SPF proprietários ou administradores do domínio para adicionar um registo DNS que contém o público DKIM chave que será usada pelos receptores para verificar que a mensagem de assinatura DKIM é correto, e no lado do remetente das coisas que o servidor irá usar a chave privada correspondente à chave pública presente no registro DNS para assinar mensagens de e-mail.

    mais informações sobre como configurar o DKIM para Serviços Axigen podem ser acessadas aqui.DMARC (domain-based Message Authentication, Reporting, and Conformance) é um protocolo que usa SPF e DKIM para determinar se a mensagem de E-mail é autêntica. Em essência, torna mais fácil para os ISPs impedir que terceiros maliciosos executem práticas como spoofing de domínio para phish para informações privadas dos usuários.

    DMARC afirma uma política clara sobre SPF e DKIM e permite a configuração de um endereço que deve ser usado para enviar relatórios sobre as mensagens de correio enviadas pelo servidor. Esta política deve ser usada por todos os servidores e clientes receptores.

    mais informações sobre como configurar o DMARC para Serviços Axigen podem ser acessadas aqui.

    todas essas ferramentas dependem muito do DNS e a maneira como funcionam depois que toda a configuração foi cuidada é a seguinte:

    > SPF

    • no recebimento, HELO mensagem e o endereço do remetente são recuperadas pelo servidor de correio
    • o servidor de email de busca de um TXT do DNS consulta contra as mensagens de domínio dos SPF entrada
    • recuperados SPF entrada de dados, em seguida, é usado para verificar o servidor de envio
    • se este teste falhar, a mensagem será rejeitada com informações sobre a rejeição
    • DKIM

      • Sobre o envio de uma mensagem, o último servidor na infra-estrutura de domínio verifica-se contra suas configurações internas se o domínio que é usado no “a Partir de:”o cabeçalho está realmente incluído em sua “tabela de assinatura”. Se esta verificação falhar a tudo pára aqui
      • Um cabeçalho chamado “DKIM-Assinatura” é adicionado à lista de cabeçalhos de mensagem através da geração de uma assinatura usando a parte privada da chave no conteúdo da mensagem
      • Após este ponto, a mensagem principal do conteúdo não pode ser modificado ou DKIM a Assinatura de cabeçalho não será mais correto e a autenticação falhará.
      • Na recepção da mensagem, o servidor de recebimento vai fazer uma consulta de DNS para obter a chave pública utilizada na DKIM-Assinatura
      • Depois que o DKIM cabeçalho pode ser usado para decidir se a mensagem foi alterada em trânsito ou se é confiável
      • DMARC

        • após a recepção, o servidor de recebimento irá verificar se um DMARC política é publicado no domínio usado pelo SPF e / ou DKIM verifica
        • se um ou ambos os FPS / DKIM verifica sucesso, mas não estão alinhados com o DMARC política, em seguida, o cheque é considerado sem êxito, caso contrário, se eles são também alinhado com o DMARC política, em seguida, a verificação for bem-sucedida
        • em caso de falha, com base na ação que é publicado pelo DMARC política, diferentes ações podem ser tomadas
        • Mesmo se você tiver um perfeitamente funcional do sistema e todas as ferramentas acima mencionadas configurado e funcionando sem problemas, você pode não ser 100% seguro, porque nem todos os servidores lá fora estão usando essas ferramentas.

          Filtragem de conteúdo

          os filtros de conteúdo permitem digitalizar e inspecionar mensagens recebidas / enviadas e realizar as ações correspondentes com base nos resultados automaticamente.

          serviços como esses verificam principalmente o conteúdo da mensagem de E-mail e decidem se o conteúdo corresponde aos filtros de spam e impede que a mensagem chegue à caixa de entrada. As varreduras também analisam metadados e cabeçalhos de imagem, bem como o conteúdo do texto da mensagem.

          cyren-antivirus-antispam-brochure

          Axigen fornece built-in premium Antivírus e filtragem AntiSpam, que vêm pré-embalados e são totalmente integrados e configurável a partir do WebAdmin:

          • Axigen Premium AntiSpam e Antivírus (alimentado por Cyren) e
          • Kaspersky anti-spam e Antivírus.

          você também pode integrar quaisquer produtos de terceiros, desde que sejam mais leves, ou até mesmo usar serviços baseados em nuvem como um gateway na frente do seu servidor de E-mail.

          é importante observar que a filtragem de conteúdo consome mais recursos, e é por isso que é importante também implementar as outras camadas que filtram e-mails antes de chegar ao seu filtro de conteúdo.

          proteger o tráfego de E-mail de saída

          enviar e receber restrições

          os limites podem ser aplicados às mensagens enviadas pelos usuários que você hospeda em seu servidor de E-mail. Você pode controlar o tamanho máximo que uma mensagem pode ter em sua totalidade ou o tamanho das partes individuais de uma mensagem ou mesmo ambas as coisas. Por exemplo, você pode controlar o tamanho máximo do cabeçalho da mensagem ou anexos, ou definir um limite para o número máximo de destinatários que um usuário pode adicionar a uma mensagem de saída. Além disso, e mais importante, como administrador, você pode criar cotas de envio (com exceções) que garantam que sua política de uso justo seja aplicada automaticamente.

          você pode ler mais sobre como configurar essas restrições no Axigen WebAdmin aqui.

          proteção contra spam de saída

          ter controle sobre o que sai de seus servidores de E-mail é tão importante quanto saber o que entra. Portanto, ter uma política para digitalizar as mensagens enviadas, bem como as mensagens recebidas, é importante porque pode impedir que alguém envie mensagens de spam e, como tal, atrair repercussões indesejadas em você.

          mais sobre este assunto no meu artigo no LinkedIn aqui.

          proteger o acesso à caixa de correio

          autenticação de dois fatores do Webmail (2FA)

          certificar-se de que suas contas de usuário estão seguras, embora você provavelmente esteja usando SSL/TLS, é importante porque às vezes as senhas de usuário não são as mais fortes.

          além do facto de o Axigen apoio configurável Políticas de palavra-Passe, permitindo a autenticação de dois fatores podem melhorar significativamente a segurança da conta de cada usuário e proteger seus dados de terceiros mal intencionados que poderiam ter acesso a sua conta, porque pode ter chegado a sua palavra-passe de outro serviço que eles estavam usando, que tinha um segurança de backdoor.

          Axigen fornece suporte de autenticação de dois fatores para contas de usuário.

          ouvintes SSL/TLS

          é muito importante que seus ouvintes estejam configurados corretamente com boas versões SSL e suítes cypher. O servidor Axigen vem com tudo configurado e recomendamos que você sempre mantenha o servidor atualizado para garantir que seus ouvintes SSL sejam de Nível A.

          configurações recomendadas de criptografia e autenticação IMAP

          usar uma conexão criptografada com o StartTLS ativado é a melhor maneira de garantir que seus dados e seus clientes estejam protegidos e não possam ser lidos por terceiros mal-intencionados.

          Axigen WebAdmin permite o controle sobre as configurações de criptografia e de autenticação do servidor de email, você pode ver as configurações recomendadas para configurar o IMAP nesta página de documentação.

          proteger contra ataques de Força bruta

          um ataque de Força bruta é um tipo de ataque cibernético em que um terceiro malicioso tenta senhas e senhas diferentes usando um script automatizado até encontrar a combinação certa para obter acesso a uma conta ou serviço. Pode ter sido em torno de um longo tempo, no entanto, ainda é muito popular por causa de quão eficaz é contra senhas fracas, e é por isso que a autenticação de dois fatores é uma característica importante ter em contas de usuário.

          Fail2Ban (Linux) e RDPGuard (Windows) são sistemas de prevenção de intrusão que adicionam proteção para ataques de Força bruta a servidores de email. Ao monitorar arquivos de log e bloquear endereços IP de hosts que executam muitas tentativas de login ou muitas conexões em um curto período de tempo definido pelo administrador do servidor de email.

          Mais sobre como configurar o Axigen server para usar o Fail2Ban no Linux ou como configurar o Axigen server para usar RDPGuard no Windows

          Firewall

          Um dos críticos e verdadeiramente obrigatório em nível de rede de controles de segurança é o firewall. Um Firewall deve ter recursos avançados de análise de ameaças persistentes, pois eles são capazes de detectar ataques de segurança de dia zero. É uma prática recomendada executar sistemas de detecção de intrusão (IDS) também. Um gateway de segurança de E-mail é necessário para exibir o tráfego de E-mail de entrada / saída.

          regras de Filtragem de Firewall podem ser usadas para negar / permitir tráfego de E-mail específico. Isso é útil para impedir que o servidor se torne um retransmissor e envie e-mails de spam em massa. As regras de Filtragem de pacotes ajudam a interromper os ataques DDoS e DoS.

          Axigen tem um componente interno para o firewall no nível do aplicativo que lida com isso para você como parte das camadas de segurança do servidor.

          você pode ler mais sobre as opções de configuração disponíveis no WebAdmin para o firewall embutido na seção Controle de fluxo desta página de documentação.

          conclusão

          um servidor de E-mail seguro tem essencialmente controles de segurança em nível de rede e servidor. É uma prática padrão configurar e manter seu próprio servidor de E-mail. No entanto, algumas organizações optam por comprar soluções de software de servidor de E-mail prontas para uso. Se você considerar essa opção, a segurança deve ser sua maior consideração.

          não existe um sistema completamente seguro em qualquer lugar do mundo. No entanto, algumas soluções de software de E-mail fornecem pacotes abrangentes que cobrem a segurança em todas as camadas, incluindo os níveis de rede e servidor.

          altamente seguro servidor de e-mail solução deve ter:

          • regras de firewall
          • seguro de gateway de e-mail
          • servidor de nível de controles, incluindo criptografia, anti-spam / anti-phishing / antivírus, bem como de análise, monitoramento de serviços.

          uma das principais soluções é a solução de servidor de E-mail seguro oferecida pela Axigen, que você pode descobrir mais sobre aqui.

Leave a Reply