Hur Säkrar Jag Min E-Postserver? En omfattande Guide
säkra inkommande e-posttrafik
kryptera en e-postserver och kryptera e-posttrafik är faktiskt två olika saker. En säker e-postserver kräver kryptering under överföring, kryptering av e-post och kryptering av sparade e-postmeddelanden.
end User Side Encryption
PGP/MIME och S/MIME är två alternativ för att kryptera e-postmeddelanden från början till slut. Dessa två alternativ använder certifikatbaserad kryptering för e-postmeddelanden från det ögonblick de kommer från slutanvändarenheten tills de tas emot på mottagarens slutanvändarenhet..
S/MIME använder en offentlig nyckel eller asymmetrisk kryptografi samt digitala certifikat för e-post. Certifikat hjälper till att autentisera avsändaren av e-post.
autentiseringsuppgifter kryptering
Axigen, som en av de ledande leverantörerna av e-postserverprogramvara, använder CRAM-MD5, DIGEST-MD5 och GSSAPI för e-postuppgifter kryptering. Läs mer om Axigen mail server security på vår dedikerade sida.
SMTP inlämning autentisering krävs för att korrekt identifiera avsändaren och för att säkerställa att din e-postserver inte blir en öppen relä missbrukas av 3: e part.
för kryptering via e-post är TLS de facto-standarden. Det kan och bör användas för att säkra trafik för webbmail, IMAP och andra klientåtkomstprotokoll.
SMTP-tjänster
Simple Mail Transfer Protocol (eller SMTP) är det valfria protokollet som används av de flesta e-postklienter för att skicka meddelanden till en e-postserver samt e-postservrar som skickar / vidarebefordrar meddelanden från en server till en annan på väg till sin utsedda användare.
här är de vanligaste säkerhetsproblemen vid överföring av e-post:
- obehörig åtkomst till din e-post och dataläckage
- Spam och Phishing
- Malware
- DoS-attacker
SSL (Secure Sockets Layer) är ett kryptografiskt protokoll som utvecklats av Netscape i 1995 utformad för att ge ökad säkerhet över nätverkskommunikation och det är föregångaren till TLS (Transport Layer säkerhet). Eftersom alla SSL-versioner för närvarande har många kända och exploaterbara sårbarheter rekommenderas inte längre för produktionsanvändning. Att säkra överföring med TLS är den nuvarande de facto-standarden: rekommenderade TLS-versioner är 1.1, 1.2 och, den senaste och säkraste, 1.3.
SSL/TLS krypterar meddelandena mellan e-postklienten och e-postservern samt mellan e-postservrar. Om den krypterade SMTP-kommunikationen registreras av en skadlig tredje part ser den parten bara vad som verkar vara slumpmässiga tecken som ersätter e-postinnehållet vilket innebär att dina kontakter och meddelandedata fortfarande är skyddade och oläsliga.
Axigen stöder också en TLS-förlängning som heter Perfect Forward Secrecy som är en funktion i specifika nyckelavtalsprotokoll som ger försäkringar om att sessionsnycklar inte kommer att äventyras även om långsiktiga hemligheter som används i sessionsnyckelutbytet äventyras. I lekman termer, om de privata nycklarna som lagras på servern förloras eller bryts, är tidigare inspelade krypterade SMTP-sessioner fortfarande oföränderliga.
från och med version X2 kan Axigen använda Let ‘ s Encrypt-tjänsten för att generera SSL-certifikat, som automatiskt förnyas före utgången.
från version X3 tillåter Axigen certifikathantering från WebAdmin, vilket gör att du kan skapa, förnya eller ta bort certifikat eller CSR, samt visa och konfigurera var varje certifikat ska användas — dvs. servicelyssnare, virtuell värd eller säkra SMTP-anslutningar när du levererar via en smart värd.
Läs mer om att säkra dina SMTP-tjänster med Axigen.
DNSBL och URIBL
Domain Name System Blacklist (DNSBL) eller Real-time Blackhole List (RBL) är i huvudsak en tjänst som ger en svart lista över kända domäner och IP-adresser som har ett rykte om att vara en källa till spam. Vanligtvis kan e-postserverprogramvara konfigureras för att kontrollera en eller flera av dessa listor.
en DNSBL är mer av en mjukvarumekanism, snarare än en specifik lista. Det finns många i tillvaron, som använder ett brett spektrum av kriterier som kan få en adress som anges eller onoterade: lista adresserna på maskiner som används för att skicka spam, Internetleverantörer (Internetleverantörer) är kända för att vara värd för spammare, etc.
- Spamhaus DBL är en tjänst som svartlistar domäner som finns i skräppostmeddelanden och listas som dåligt rykte.
- uribl-tjänsten är en lista över domäner som upptäckts som att skicka skräppost
DNSBL-servrar svartlistas som spammare, och när du definierar en server som en, släpps e-postmeddelanden från sådana servrar automatiskt.
Axigen erbjuder också två sådana tjänster till sina kunder: aDNSBL och aURIBL, dessa två är premium IP-baserade DNSBL-och URIBL-listor, som drivs och kurateras av Axigen och de kan användas av Axigen-kunder som prenumererar på dessa valfria tjänster.
SPF, DKIM och DMARC
SPF (Sender Policy Framework) är en DNS TXT-post som har en lista över servrar som bör anses ha fått skicka e-post på uppdrag av en viss domän. Att vara en DNS-post kan betraktas som ett sätt att genomdriva det faktum att postlistan är pålitlig för domänen eftersom de enda personer som får lägga till eller ändra den domänzonen är domänens ägare eller administratörer.
mer information om hur du konfigurerar SPF för Axigen-tjänsterna finns här.
DKIM (DomainKeys Identified Mail) är en metod för att verifiera att meddelandets innehåll är pålitligt, vilket visar att innehållet inte ändrades från det ögonblick som meddelandet lämnade den ursprungliga e-postservern och tills det nådde destinationen. Detta ytterligare lager av konsistens uppnås genom användning av en vanlig offentlig / privat nyckelsigneringsprocess. Som i fallet med SPF lägger domänens ägare eller administratörer till en DNS-post som innehåller den offentliga DKIM-nyckeln som kommer att användas av mottagare för att verifiera att meddelandet DKIM-signaturen är korrekt, och på avsändarsidan av saker kommer servern att använda den privata nyckeln som motsvarar den offentliga nyckeln som finns i DNS-posten för att underteckna e-postmeddelandena.
mer information om hur du konfigurerar DKIM för Axigen-tjänster finns här.
DMARC (Domänbaserad Meddelandeautentisering, rapportering och överensstämmelse) är ett protokoll som använder SPF och DKIM för att avgöra om e-postmeddelandet är autentiskt. I huvudsak gör det lättare för Internetleverantörer att förhindra skadliga tredje parter från att utföra metoder som domän spoofing till phish för användare privat information.
DMARC anger en tydlig policy för både SPF och DKIM och tillåter inställning av en adress som ska användas för att skicka rapporter om e-postmeddelanden som skickas av servern. Denna policy ska användas av alla mottagande servrar och klienter.
mer information om hur du konfigurerar DMARC för Axigen-tjänster finns här.
alla dessa verktyg är starkt beroende av DNS och hur de fungerar efter att alla inställningar har tagits om hand är följande:
SPF
- vid mottagandet hämtas helo-meddelandet och avsändarens adress av e-postservern
- e-postservern hämtar en TXT-DNS-fråga mot meddelandets domän SPF-post
- den hämtade SPF-postdata används sedan för att verifiera sändningsservern
- om den här kontrollen misslyckas kommer meddelandet att avvisas med information om avslaget
DKIM
- när du skickar ett meddelande kontrollerar den sista servern i domäninfrastrukturen sina interna inställningar om domänen som används i “från:”header ingår verkligen i dess “signeringstabell”. Om den här kontrollen misslyckas stannar allt här
- en rubrik med namnet” DKIM-Signature ” läggs till i meddelandehuvudlistan genom att generera en signatur med den privata delen av nyckeln på innehållet i meddelandet
- efter denna punkt kan meddelandets huvudinnehåll inte ändras eller DKIM-Signaturhuvudet kommer inte att vara korrekt längre och autentiseringen misslyckas.
- vid mottagning av meddelandet kommer den mottagande servern att göra en DNS-fråga för att hämta den offentliga nyckeln som används i DKIM-signaturen
- efter det kan DKIM-huvudet användas för att bestämma om meddelandet ändrades i transit eller om det är pålitligt
DMARC
- vid mottagning kommer den mottagande servern att kontrollera om ett meddelande har ändrats i transit DMARC-policyn publiceras i domänen som används av SPF-och / eller DKIM-kontrollerna
- om en eller båda SPF / DKIM-kontrollerna lyckas men inte är anpassade till DMARC-policyn, anses kontrollen vara misslyckad, annars om de är också i linje med DMARC-policyn är kontrollen framgångsrik
- vid fel, baserat på vilken åtgärd som publiceras av DMARC-policyn, kan olika åtgärder vidtas
även om du har ett perfekt fungerande system och alla ovan nämnda verktyg som är installerade och körs smidigt, kan du inte vara 100% säker eftersom inte alla servrar där ute använder dessa verktyg.
innehållsfiltrering
innehållsfilter låter dig skanna och inspektera inkommande / utgående meddelanden och vidta motsvarande åtgärder baserat på resultaten automatiskt.
tjänster som dessa skannar huvudsakligen innehållet i e-postmeddelandet och bestämmer om innehållet matchar spamfilter och blockerar meddelandet från att nå inkorgen. Skanningar tittar också på bildmetadata och rubriker samt innehållet i meddelandetexten.
Axigen tillhandahåller inbyggd Premium AntiVirus-och Antispamfiltrering, som är färdigförpackade och är helt integrerade och konfigurerbara från WebAdmin:
- Axigens Premium AntiSpam och AntiVirus (drivs av Cyren) och
- Kaspersky AntiSpam och AntiVirus.
du kan också integrera alla tredjepartsprodukter så länge de är Milter kapabla, eller till och med använda molnbaserade tjänster som en gateway framför din e-postserver.
det är viktigt att notera att innehållsfiltrering är mer resurskrävande, varför det är viktigt att även implementera de andra lagren som filtrerar bort e-postmeddelanden innan du når ditt innehållsfilter.
säkra utgående e-posttrafik
skicka och ta emot begränsningar
gränser kan tillämpas på de meddelanden som skickas av de användare du värd på din e-postserver. Du kan styra den maximala storleken som ett meddelande kan ha i sin helhet eller storleken på ett meddelandes enskilda delar eller till och med båda dessa saker. Du kan till exempel styra den maximala storleken på meddelandehuvudet eller dess bilagor, eller ange en gräns för det maximala antalet mottagare som en användare kan lägga till i ett utgående meddelande.
dessutom, och ännu viktigare, som administratör kan du skapa sändningskvoter (med undantag) som säkerställer att din Policy För Rättvis användning tillämpas automatiskt.
du kan läsa mer om hur du konfigurerar dessa begränsningar i Axigen WebAdmin här.
utgående Skräppostskydd
att ha kontroll över vad som går ut från dina e-postservrar är lika viktigt som att veta vad som kommer in. Så att ha en policy att skanna utgående meddelanden samt inkommande meddelanden är viktigt eftersom det kan stoppa någon från att skicka spam-meddelanden och som sådan locka oönskade konsekvenser för dig.
mer om detta ämne i min artikel på LinkedIn här.
säkra Postlådeåtkomst
Webmail Two Factor Authentication (2FA)
att se till att dina användarkonton är säkra även om du förmodligen använder SSL/TLS är viktigt eftersom användarlösenord ibland inte är de starkaste.
förutom det faktum att Axigen stöder konfigurerbara Lösenordspolicyer kan aktivering av tvåfaktorsautentisering avsevärt förbättra kontosäkerheten för varje användare och skydda deras data från skadliga tredje parter som annars kan få tillgång till sitt konto eftersom de kan ha fått sitt lösenord från en annan tjänst som de använde som hade en säkerhetsbakdörr.
Axigen tillhandahåller Tvåfaktorsautentiseringsstöd för användarkonton.
SSL/TLS-lyssnare
det är mycket viktigt att dina lyssnare är korrekt konfigurerade med bra SSL-versioner och cypher-sviter. Axigen-servern levereras med allt inställt och vi rekommenderar att du alltid håller servern uppdaterad för att säkerställa att dina SSL-lyssnare är A-klass.
IMAP-kryptering och autentisering rekommenderade inställningar
att använda en krypterad anslutning med StartTLS aktiverad är det bästa sättet att se till att dina och dina kunders data skyddas och inte kan läsas av en skadlig tredje part.
Axigen WebAdmin tillåter kontroll över inställningarna för kryptering och autentisering av e-postservern, du kan se de rekommenderade inställningarna för att konfigurera IMAP på den här dokumentationssidan.
skydda mot Brute Force-attacker
en brute-force-attack är en typ av cyberattack där en skadlig tredje part försöker olika lösenord och lösenfraser med ett automatiserat skript tills de hittar rätt kombination för att få tillgång till ett konto eller en tjänst. Det kan ha funnits länge, men det är fortfarande mycket populärt på grund av hur effektivt det är mot svaga lösenord, varför tvåfaktorsautentisering är en viktig funktion att ha på Användarkonton.
Fail2Ban (Linux) och RDPGuard (Windows) är intrångsskyddssystem som ger skydd för brute-force-attacker till e-postservrar. Genom att övervaka loggfiler och blockera IP-adresser för värdar som utför för många inloggningsförsök eller för många anslutningar på kort tid som definieras av e-postserverns administratör.
mer om hur du ställer in din Axigen-server för att använda Fail2Ban på Linux eller hur du ställer in din Axigen-server för att använda RDPGuard på Windows
brandvägg
en av de kritiska och verkligen obligatoriska säkerhetskontrollerna på nätverksnivå är brandväggen. En brandvägg bör ha avancerade ihållande hotanalysfunktioner, eftersom de kan upptäcka nolldagars säkerhetsattacker. Det är en bästa praxis att köra intrusion detection systems (IDS) också. En e-postsäkerhetsgateway krävs för att screena inkommande / utgående e-posttrafik.
Brandväggsfiltreringsregler kan användas för att neka / tillåta specifik e-posttrafik. Detta är användbart för att stoppa servern från att bli ett relä och skicka mass spam e-post. Paketfiltreringsregler hjälper till att stoppa DDoS-och DoS-attacker.
Axigen har en intern komponent för brandväggen på applikationsnivå som hanterar detta åt dig som en del av serverns säkerhetslager.
du kan läsa mer om de konfigurationsalternativ som finns i WebAdmin för den inbyggda brandväggen i avsnittet flödeskontroll på den här dokumentationssidan.
slutsats
en säker e-postserver har i huvudsak både nätverks-och servernivåsäkerhetskontroller. Det är en vanlig praxis att konfigurera och underhålla din egen e-postserver. Men vissa organisationer väljer att köpa off-the-shelf e-postserver mjukvarulösningar. Om du överväger detta alternativ bör säkerhet vara ditt högsta övervägande.
det finns inget helt säkert system någonstans i världen. Vissa e-postprogramvarulösningar erbjuder dock omfattande paket som täcker säkerhet i alla lager, inklusive nätverks-och servernivåer.
en mycket säker e-postserverlösning bör ha:
- brandväggsregler
- säker e-postgateway
- kontroller på servernivå inklusive kryptering, Anti-spam / Anti-phishing / antivirus, samt en övervakning, analystjänst.
en av de bästa lösningarna är den säkra e-postserverlösningen som erbjuds av Axigen, som du kan läsa mer om här.
Leave a Reply