Internet-Sicherheit - E-Mail-Sicherheit

In diesem Kapitel werden die Sicherheitsmaßnahmen erläutert, die auf einem Mailserver und auf einer Client-Site ergriffen werden müssen.

Mail-Server härten

Um einen Mailserver zu sichern, müssen Sie die folgenden Schritte ausführen:

Schritt 1. Konfigurieren Sie den Mailserver so, dass Open Relay nicht vorhanden ist

Es ist sehr wichtig, Ihre Mail-Relay-Parameter so zu konfigurieren, dass sie sehr restriktiv sind. Alle Mailserver verfügen über diese Option, mit der Sie angeben können, an welche Domänen oder IP-Adressen Ihr Mailserver die Mails weiterleiten soll. Dieser Parameter gibt an, an wen Ihr SMTP-Protokoll die E-Mails weiterleiten soll. Ein offenes Relay kann Ihnen schaden, da Spammer Ihren Mailserver zum Spammen anderer verwenden können, was dazu führt, dass Ihr Server auf die schwarze Liste gesetzt wird.

Schritt 2. Richten Sie die SMTP-Authentifizierung ein, um den Benutzerzugriff zu steuern

Die SMTP-Authentifizierung erzwingt, dass die Personen, die Ihren Server verwenden, die Berechtigung zum Senden von E-Mails erhalten, indem sie zuerst einen Benutzernamen und ein Kennwort angeben. Dies hilft, offenes Relay und Missbrauch Ihres Servers zu verhindern. Bei richtiger Konfiguration können nur bekannte Konten das SMTP Ihres Servers zum Senden einer E-Mail verwenden. Diese Konfiguration wird dringend empfohlen, wenn Ihr Mailserver eine geroutete IP-Adresse hat.

Schritt 3. Beschränken Sie die Verbindungen, um Ihren Server vor DoS-Angriffen zu schützen

Die Anzahl der Verbindungen zu Ihrem SMTP-Server sollte begrenzt sein. Diese Parameter hängen von den Spezifikationen der Serverhardware ab und sind eine Nennlast pro Tag. Die wichtigsten Parameter für die Behandlung von Verbindungslimits sind: Gesamtzahl der Verbindungen, Gesamtzahl der gleichzeitigen Verbindungen und maximale Verbindungsrate. Um optimale Werte für diese Parameter beizubehalten, muss sie möglicherweise im Laufe der Zeit verfeinert werden. Esprevents Spam Floods and DoS Attacks die auf Ihre Netzwerkinfrastruktur abzielen.

Schritt 4. Aktivieren Sie Reverse DNS, um falsche Absender zu blockieren

Die meisten Nachrichtensysteme verwenden DNS-Lookups, um das Vorhandensein der E-Mail-Domäne des Absenders zu überprüfen, bevor eine Nachricht angenommen wird. Eine umgekehrte Suche ist auch eine interessante Option, um gefälschte Mail-Absender abzuwehren. Sobald die Reverse DNS-Suche aktiviert ist, überprüft Ihr SMTP, ob die IP-Adresse des Absenders sowohl mit den Host- als auch mit den Domänennamen übereinstimmt, die vom SMTP-Client im Internet gesendet wurdenEHLO/HELO Command. Dies ist sehr nützlich, um Nachrichten zu blockieren, die den Adressübereinstimmungstest nicht bestehen.

Schritt 5. Verwenden Sie DNSBL-Server, um den Missbrauch eingehender E-Mails zu bekämpfen

Eine der wichtigsten Konfigurationen zum Schutz Ihres E-Mail-Servers ist die Verwendung DNS – based blacklists. Durch die Überprüfung, ob die Absenderdomäne oder IP den DNSBL-Servern weltweit bekannt ist, kann die Menge des empfangenen Spam erheblich reduziert werden. Durch Aktivieren dieser Option und Verwenden einer maximalen Anzahl von DNSBL-Servern werden die Auswirkungen unerwünschter eingehender E-Mails erheblich verringert. Die Liste der DNSBL-Server sowie alle bekannten IP-Adressen und Domänen von Spammern für diesen Zweck werden alle auf einer Website gespeichert. Der Link für diese Website lautet:https://www.spamhaus.org/organization/dnsblusage/

Schritt 6. Aktivieren Sie SPF, um gefälschte Quellen zu vermeiden

Das Sender Policy Framework (SPF) ist eine Methode, mit der gefälschte Absenderadressen verhindert werden. Heutzutage tragen fast alle missbräuchlichen E-Mail-Nachrichten falsche Absenderadressen. Die SPF-Prüfung stellt sicher, dass der sendende MTA E-Mails im Namen des Domainnamens des Absenders senden darf. Wenn SPF auf Ihrem Server aktiviert ist, wird der MX-Eintrag des sendenden Servers (der DNS Mail Exchange-Eintrag) überprüft, bevor eine Nachrichtenübertragung stattfindet.

Schritt 7. Aktivieren Sie SURBL, um den Nachrichteninhalt zu überprüfen

Die SURBL (Spam URI Real-Time Block Lists) erkennt unerwünschte E-Mails basierend auf ungültigen oder böswilligen Links in einer Nachricht. Ein SURBL-Filter schützt Benutzer vor Malware und Phishing-Angriffen. Derzeit unterstützen nicht alle Mailserver SURBL. Wenn Ihr Messaging-Server dies jedoch unterstützt, erhöht die Aktivierung Ihre Serversicherheit sowie die Sicherheit Ihres gesamten Netzwerks, da mehr als 50% der Internet-Sicherheitsbedrohungen von E-Mail-Inhalten ausgehen.

Schritt 8. Pflegen Sie lokale IP-Blacklists, um Spammer zu blockieren

Eine lokale IP-Blacklist auf Ihrem E-Mail-Server ist sehr wichtig, um bestimmten Spammern entgegenzuwirken, die nur auf Sie abzielen. Die Pflege der Liste kann Ressourcen und Zeit in Anspruch nehmen, bringt jedoch einen echten Mehrwert. Das Ergebnis ist eine schnelle und zuverlässige Methode, um zu verhindern, dass unerwünschte Internetverbindungen Ihr Nachrichtensystem stören.

Schritt 9. Verschlüsseln Sie die POP3- und IMAP-Authentifizierung aus Datenschutzgründen

Die POP3- und IMAP-Verbindungen wurden ursprünglich nicht aus Sicherheitsgründen erstellt. Infolgedessen werden sie häufig ohne starke Authentifizierung verwendet. Dies ist eine große Schwachstelle, da die Passwörter der Benutzer im Klartext über Ihren Mailserver übertragen werden und somit für Hacker und Personen mit böswilliger Absicht leicht zugänglich sind. Das SSLTLS ist der bekannteste und einfachste Weg, eine starke Authentifizierung zu implementieren. es ist weit verbreitet und wird als zuverlässig genug angesehen.

Schritt 10. Haben Sie mindestens zwei MX-Einträge für ein Failover

Eine Failover-Konfiguration ist für die Verfügbarkeit sehr wichtig. Ein einziger MX-Eintrag ist niemals ausreichend, um einen kontinuierlichen E-Mail-Fluss zu einer bestimmten Domain sicherzustellen. Aus diesem Grund wird dringend empfohlen, mindestens zwei MXs für jede Domain einzurichten. Die erste wird als primäre festgelegt, und die sekundäre wird verwendet, wenn die primäre aus irgendeinem Grund ausfällt. Diese Konfiguration erfolgt amDNS Zone level.

Sichern von E-Mail-Konten

In diesem Abschnitt wird erläutert, wie Sie die E-Mail-Konten sichern und verhindern, dass sie gehackt werden.

Sichern auf der Client-Site

Das Wichtigste ist zu Create complex passwords. Da es viele Techniken gibt, um die Passwörter zu knacken, wie Brute-Force, Wörterbuchangriffe und das Erraten von Passwörtern.

A strong password contains −

  • 7 bis 16 Zeichen.
  • Groß-und Kleinbuchstaben
  • Numbers
  • Spezielle Charaktere

Verbinden Sie das E-Mail-Passwort immer mit einer anderen echten E-Mail, auf die Sie Zugriff haben. Falls diese E-Mail gehackt wird, haben Sie die Möglichkeit, erneut Zugriff zu erhalten.

Installieren Sie auf Ihrem Computer ein E-Mail-Antivirenprogramm, damit jede E-Mail, die in Ihrem E-Mail-Client eingeht, wie Anhänge und Phishing-Links gescannt wird.

Wenn Sie es gewohnt sind, den Webzugriff zu verwenden, öffnen Sie niemals Anhänge mit dem.exe Erweiterungen.

Es wird empfohlen, eine verschlüsselte E-Mail zu verwenden, wenn Sie offiziell mit wichtigen Daten kommunizieren. Daher ist es besser, die Kommunikation zwischen den Endbenutzern zu verschlüsseln, ein gutes Werkzeug dafür istPGP Encryption Tool.