Cum Îmi Securizez Serverul De E-Mail? Un ghid cuprinzător
securizarea traficului de e-mail de intrare
criptarea unui server de e-mail și criptarea traficului de e-mail sunt de fapt două lucruri diferite. Un server de e-mail securizat necesită criptare în timpul transferului, criptarea e-mailului și criptarea e-mailurilor salvate.
end user side Encryption
PGP/MIME și S/MIME sunt două opțiuni pentru criptarea e-mailurilor end-to-end. Aceste două opțiuni utilizează criptarea bazată pe certificate pentru e-mailuri din momentul în care provin de la dispozitivul utilizatorului final până când sunt primite pe dispozitivul utilizatorului final al destinatarului..
S/MIME utilizează o cheie publică sau criptografie asimetrică, precum și certificate digitale pentru e-mailuri. Certificatele ajută la autentificarea expeditorului de e-mail.
autentificare acreditări criptare
Axigen, ca unul dintre cei mai importanti furnizori de software de server de e-mail, utilizează CRAM-MD5, DIGEST-MD5, și GSSAPI pentru e-mail acreditări de criptare. Citiți mai multe despre Axigen mail server security pe pagina noastră dedicată.
autentificarea trimiterii SMTP este necesară pentru a identifica corect expeditorul și pentru a vă asigura că serverul dvs. de e-mail nu devine un releu deschis abuzat de părțile 3rd.
pentru criptarea e-mailului în tranzit, TLS este standardul de facto. Poate și ar trebui să fie utilizat pentru a asigura traficul pentru webmail, IMAP și orice alte protocoale de acces la client.
servicii SMTP
Simple Mail Transfer Protocol (sau SMTP) este protocolul de alegere utilizat de majoritatea clienților de e-mail pentru a trimite mesaje către un server de e-mail, precum și serverele de e-mailuri care trimit / retransmit mesaje de la un server la altul în drum spre utilizatorul lor desemnat.
iată cele mai frecvente probleme de securitate la transmiterea e-mailurilor:
- acces neautorizat la e-mailurile și scurgerile de date
- Spam și Phishing
- Malware
- atacuri DoS
SSL (Secure Sockets Layer) este un protocol criptografic dezvoltat de Netscape în 1995 conceput pentru a oferi o securitate sporită prin comunicații în rețea și este predecesorul TLS (securitate). Deoarece toate versiunile SSL au în prezent o mulțime de vulnerabilități cunoscute și exploatabile nu mai este recomandat pentru utilizarea în producție. Asigurarea transmisiei cu TLS este standardul actual de facto: versiunile TLS recomandate sunt 1.1, 1.2 și, cele mai recente și mai sigure, 1.3.
SSL/TLS criptează mesajele dintre clientul de e-mail și serverul de e-mail, precum și între serverele de e-mail. Dacă comunicarea SMTP criptată este înregistrată de o terță parte rău intenționată, acea parte va vedea doar ceea ce pare a fi caractere aleatorii care înlocuiesc conținutul e-mailului, ceea ce înseamnă că contactele și datele mesajelor dvs. sunt încă protejate și ilizibile.
Axigen acceptă, de asemenea, o extensie TLS numită Perfect Forward secret, care este o caracteristică a protocoalelor specifice de acord cheie care oferă asigurări că cheile de sesiune nu vor fi compromise chiar dacă secretele pe termen lung utilizate în schimbul de chei de sesiune sunt compromise. În termeni simpli, în cazul în care cheile private stocate pe server se pierd sau se încalcă, sesiunile SMTP criptate înregistrate anterior sunt încă indescifrabile.
începând cu versiunea X2, Axigen poate utiliza serviciul Let ‘ s Encrypt pentru a genera certificate SSL, care sunt reînnoite automat înainte de expirare.
din versiunea X3, Axigen permite gestionarea certificatelor de pe WebAdmin, permițându — vă astfel să creați, să reînnoiți sau să ștergeți certs sau CSR-uri, precum și să vizualizați și să configurați unde va fi utilizat fiecare certificat-adică ascultător de servicii, gazdă virtuală sau securizarea conexiunilor SMTP atunci când livrați printr-o gazdă inteligentă.
citiți mai multe despre securizarea serviciilor SMTP utilizând Axigen.
DNSBL și URIBL
lista neagră a sistemului de nume de domeniu (DNSBL) sau lista neagră în timp real (RBL) este, în esență, un serviciu care oferă o listă neagră de domenii cunoscute și adrese IP care au reputația de a fi o sursă de spam. De obicei, software-ul serverului de e-mail poate fi configurat pentru a verifica una sau mai multe dintre aceste înregistrări.
un DNSBL este mai mult un mecanism software, mai degrabă decât o listă specifică. Există multe existente, care utilizează o gamă largă de criterii care ar putea obține o adresă listată sau nelistată: listarea adreselor mașinilor utilizate pentru a trimite spam, furnizorii de servicii de internet (ISP) sunt cunoscuți pentru a găzdui spammeri etc.
- Spamhaus DBL este un serviciu care lista neagră domenii găsite în mesajele spam și enumerate ca având o reputație slabă.
- serviciul URIBL este o listă de domenii detectate ca trimiterea de e-mail spam
serverele DNSBL sunt pe lista neagră ca spam, și atunci când definiți un server ca unul, e-mailuri de la astfel de servere sunt eliminate automat.
Axigen oferă, de asemenea, două astfel de servicii clienților lor: aDNSBL și aURIBL, acestea două sunt liste DNSBL și URIBL bazate pe IP premium, operate și întreținute de Axigen și pot fi utilizate de clienții Axigen care se abonează la aceste servicii opționale.
SPF, DKIM și DMARC
SPF (Sender Policy Framework) este o intrare DNS txt care are o listă de servere care ar trebui considerate ca fiind autorizate să trimită e-mailuri în numele unui anumit domeniu. A fi o intrare DNS poate fi considerat ca o modalitate de a impune faptul că lista de intrări este de încredere pentru domeniu, deoarece singurele persoane cărora li se permite să adauge sau să schimbe acea zonă de domeniu sunt proprietarii sau administratorii domeniului.
mai multe informații despre configurarea SPF pentru serviciile Axigen pot fi accesate aici.
DKIM (DomainKeys Identified Mail) este o metodă pentru a verifica dacă conținutul mesajelor este de încredere, arătând că conținutul nu a fost modificat din momentul în care mesajul a părăsit serverul de poștă inițială și până când a ajuns la destinație. Acest strat suplimentar de consistență este realizat prin utilizarea unui proces standard de semnare a cheilor publice / private. Ca și în cazul SPF, proprietarii sau administratorii domeniului adaugă o înregistrare DNS care conține cheia publică DKIM care va fi utilizată de receptoare pentru a verifica dacă semnătura DKIM a mesajului este corectă, iar pe partea expeditorului a lucrurilor serverul va folosi cheia privată corespunzătoare cheii publice prezente în înregistrarea DNS pentru a semna mesajele de poștă electronică.
mai multe informații despre configurarea DKIM pentru serviciile Axigen pot fi accesate aici.
DMARC (Domain-based Message Authentication, Reporting and Conformance) este un protocol care utilizează SPF și DKIM pentru a determina dacă mesajul de e-mail este autentic. În esență, este mai ușor pentru ISP-uri să împiedice terțele părți rău intenționate să efectueze practici, cum ar fi spoofing-ul domeniului, pentru a phish pentru informațiile private ale utilizatorilor.
DMARC afirmă o politică clară atât despre SPF, cât și despre DKIM și permite setarea unei adrese care ar trebui utilizată pentru a trimite rapoarte despre mesajele de poștă trimise de server. Această politică ar trebui să fie utilizată de toate serverele și clienții care primesc.
mai multe informații despre configurarea DMARC pentru serviciile Axigen pot fi accesate aici.
toate aceste instrumente se bazează foarte mult pe DNS și modul în care funcționează după ce toate set up a fost avut grijă de este după cum urmează:
SPF
- la primire, mesajul HELO și adresa expeditorului sunt preluate de serverul de e-mail
- serverul de e-mail preia o interogare DNS txt împotriva intrării SPF de domeniu a mesajelor
- datele de intrare SPF preluate sunt apoi utilizate pentru a verifica serverul de trimitere
- dacă această verificare eșuează mesajul va fi respins cu informații despre respingerea
dkim
- la trimiterea unui mesaj, ultimul server din infrastructura de domeniu verifică setările sale interne dacă domeniul utilizat în “de la:”antetul este într-adevăr inclus în “tabelul de semnare”. Dacă această verificare eșuează, totul se oprește aici
- un antet numit “DKIM-Signature” este adăugat la lista antetului mesajului prin generarea unei semnături folosind partea privată a cheii din conținutul mesajului
- după acest punct, conținutul principal al mesajului nu poate fi modificat sau antetul DKIM-Signature nu va mai fi corect și autentificarea va eșua.
- la primirea mesajului, serverul receptor va face o interogare DNS pentru a prelua cheia publică utilizată în semnătura DKIM
- după aceea antetul DKIM poate fi folosit pentru a decide dacă mesajul a fost schimbat în tranzit sau dacă este demn de încredere
DMARC
- la recepție, serverul receptor va verifica dacă un mesaj politica DMARC este publicată în domeniul utilizat de verificările SPF și / sau DKIM
- dacă una sau ambele verificări SPF / DKIM reușesc, dar nu sunt aliniate cu Politica DMARC, atunci verificarea este considerată nereușită, în caz contrar, dacă sunt de asemenea, aliniate cu Politica DMARC apoi verificarea este de succes
- pe eșec, bazat pe ceea ce acțiune este publicat de politica DMARC, diferite acțiuni pot fi luate
chiar dacă aveți un sistem perfect funcțional și toate instrumentele menționate mai sus înființat și rulează fără probleme, nu poate fi 100% sigur, deoarece nu toate serverele acolo sunt folosind aceste instrumente.
filtrarea conținutului
filtrele de conținut vă permit să scanați și să inspectați mesajele primite / trimise și să efectuați automat acțiunile corespunzătoare pe baza rezultatelor.
servicii precum acestea scanează în principal conținutul mesajului de e-mail și decid dacă conținutul se potrivește cu filtrele de spam și blochează mesajul să ajungă în căsuța de e-mail. Scanările analizează, de asemenea, metadatele și anteturile imaginii, precum și conținutul textului mesajului.
Axigen oferă built-in AntiVirus premium și filtrare AntiSpam, care vin pre-ambalate și sunt complet integrate și configurabile de la WebAdmin:
- AntiSpam și AntiVirus Premium Axigen (alimentat de Cyren) și
- Kaspersky AntiSpam și AntiVirus.
puteți integra, de asemenea, orice produse terțe, atâta timp cât acestea sunt Milter capabil, sau chiar utiliza servicii bazate pe cloud ca un gateway în fața serverului de e-mail.
este important să rețineți că filtrarea conținutului necesită mai multe resurse, motiv pentru care este important să implementați și celelalte straturi care filtrează e-mailurile înainte de a ajunge la filtrul de conținut.
securizarea traficului de e-mail de ieșire
Trimitere și primire restricții
limitele pot fi aplicate mesajelor trimise de utilizatorii pe care îi găzduiți pe serverul dvs. de e-mail. Puteți controla dimensiunea maximă pe care un mesaj poate avea în întregime sau dimensiunea părților individuale ale unui mesaj sau chiar ambele lucruri. De exemplu, puteți controla dimensiunea maximă a antetului mesajului sau a atașărilor acestuia sau puteți seta o limită pentru numărul maxim de destinatari pe care un utilizator îl poate adăuga la un mesaj expediat.
în plus, și mai important, în calitate de administrator, puteți crea cote de trimitere (cu excepții) care să asigure aplicarea automată a politicii dvs. de utilizare corectă.
puteți citi mai multe despre configurarea acestor restricții în Axigen WebAdmin aici.
protecție împotriva spamului de ieșire
controlul asupra a ceea ce iese din serverele dvs. de e-mail este la fel de important ca și cunoașterea a ceea ce intră. Deci, având o politică pentru a scana mesajele trimise, precum și mesajele primite este important, deoarece se poate opri pe cineva de la trimiterea de mesaje spam și, ca atare, atragerea repercusiuni nedorite pe tine.
mai multe despre acest subiect în articolul meu de pe LinkedIn aici.
securizarea accesului la cutia poștală
webmail Autentificare cu doi factori (2FA)
asigurați-vă că conturile dvs. de utilizator sunt sigure, chiar dacă probabil utilizați SSL/TLS, este important deoarece uneori parolele utilizatorilor nu sunt cele mai puternice.
pe lângă faptul că Axigen acceptă Politici de parole configurabile, activarea autentificării cu doi factori poate îmbunătăți considerabil securitatea contului fiecărui utilizator și poate proteja datele acestora de terțe părți rău intenționate care altfel ar putea avea acces la contul lor, deoarece este posibil să fi obținut parola de la un alt serviciu pe care îl foloseau și care avea un backdoor de securitate.
Axigen oferă suport de autentificare cu doi factori pentru conturile de utilizator.
ascultători SSL/TLS
este foarte important ca ascultătorii dvs. să fie configurați corect cu versiuni SSL bune și suite cypher. Serverul Axigen vine cu tot ce este configurat și vă recomandăm să păstrați întotdeauna serverul actualizat pentru a vă asigura că ascultătorii dvs.
criptare și autentificare IMAP Setări recomandate
utilizarea unei conexiuni criptate cu StartTLS activată este cea mai bună modalitate de a vă asigura că datele dvs. și ale clienților dvs. sunt protejate și nu pot fi citite de o terță parte rău intenționată.
Axigen WebAdmin permite controlul asupra setărilor criptării și autentificării serverului de poștă electronică, puteți vedea setările recomandate pentru configurarea IMAP pe această pagină de documentație.
protejarea împotriva atacurilor cu forță brută
un atac cu forță brută este un tip de atac cibernetic în care o terță parte rău intenționată încearcă parole și fraze de acces diferite folosind un script automat până când găsește combinația potrivită pentru a avea acces la un cont sau serviciu. Este posibil să fi fost în jur de mult timp, cu toate acestea este încă foarte popular din cauza cât de eficient este împotriva parolelor slabe, motiv pentru care autentificarea cu doi factori este o caracteristică importantă pe conturile de utilizator.
Fail2Ban (Linux) și RDPGuard (Windows) sunt sisteme de prevenire a intruziunilor care adaugă protecție pentru atacurile brute-force la serverele de mail. Prin monitorizarea fișierelor jurnal și blocarea adreselor IP ale gazdelor care efectuează prea multe încercări de conectare sau prea multe conexiuni într-o perioadă scurtă de timp definită de administratorul serverului de e-mail.
mai multe despre cum să configurați serverul Axigen pentru a utiliza Fail2Ban pe Linux sau cum să configurați serverul Axigen pentru a utiliza RDPGuard pe Windows
Firewall
unul dintre controalele de securitate critice și cu adevărat obligatorii la nivel de rețea este firewall-ul. Un Firewall ar trebui să aibă caracteristici avansate de analiză persistentă a amenințărilor, deoarece acestea sunt capabile să detecteze atacuri de securitate zero-day. Este o bună practică pentru a rula sisteme de detectare a intruziunilor (IDS), de asemenea. Este necesar un gateway de securitate pentru e-mail pentru a afișa traficul de e-mail de intrare / ieșire.
regulile de filtrare Firewall pot fi folosite pentru a refuza / permite traficul de e-mail specific. Acest lucru este util pentru a opri serverul să devină un releu și să trimită e-mailuri spam în masă. Regulile de filtrare a pachetelor ajută la oprirea atacurilor DDoS și DoS.
Axigen are o componentă internă pentru firewall-ul la nivel de aplicație care gestionează acest lucru pentru dvs. ca parte a straturilor de securitate ale serverului.
puteți citi mai multe despre opțiunile de configurare disponibile în WebAdmin pentru firewall-ul încorporat în secțiunea Flow control din această pagină de documentație.
concluzie
un server de e-mail securizat are în esență atât controale de securitate la nivel de rețea, cât și la nivel de server. Este o practică standard pentru a configura și menține propriul server de e-mail. Cu toate acestea, unele organizații aleg să cumpere soluții software de server de e-mail de pe raft. Dacă luați în considerare această opțiune, securitatea ar trebui să fie cea mai mare considerație.
nu există niciun sistem complet sigur nicăieri în lume. Cu toate acestea, unele soluții software de e-mail oferă pachete complete care acoperă securitatea la toate nivelurile, inclusiv la nivel de rețea și server.
o soluție de server de e-mail extrem de sigură ar trebui să aibă:
- reguli firewall
- gateway de e-mail securizat
- controale la nivel de server, inclusiv criptare, anti-spam / anti-phishing / antivirus, precum și un serviciu de monitorizare, analiză.
una dintre soluțiile de top este soluția securizată de server de e-mail oferită de Axigen, despre care puteți afla mai multe aici.
Leave a Reply