Bezpieczeństwo w Internecie - Bezpieczeństwo poczty e-mail

W tym rozdziale wyjaśnimy środki bezpieczeństwa, które należy podjąć na serwerze pocztowym i po stronie klienta.

Utwardzanie serwera poczty

Aby wzmocnić serwer pocztowy, musisz wykonać następujące czynności -

Krok 1. Skonfiguruj serwer poczty tak, aby nie miał otwartego przekaźnika

Bardzo ważne jest, aby skonfigurować bardzo restrykcyjne parametry przekazywania poczty. Wszystkie serwery pocztowe mają tę opcję, w której możesz określić, do których domen lub adresów IP Twój serwer pocztowy będzie przekazywał wiadomości. Ten parametr określa, do kogo Twój protokół SMTP powinien przekazywać wiadomości. Otwarty przekaźnik może ci zaszkodzić, ponieważ spamerzy mogą używać twojego serwera pocztowego do spamowania innych, co powoduje, że twój serwer zostanie umieszczony na czarnej liście.

Krok 2. Skonfiguruj uwierzytelnianie SMTP, aby kontrolować dostęp użytkowników

Uwierzytelnianie SMTP zmusza osoby korzystające z serwera do uzyskania pozwolenia na wysyłanie poczty, podając najpierw nazwę użytkownika i hasło. Pomaga to zapobiec otwartemu przekaźnikowi i nadużyciom twojego serwera. Jeśli skonfigurowane we właściwy sposób, tylko znane konta mogą używać SMTP serwera do wysyłania wiadomości e-mail. Ta konfiguracja jest wysoce zalecana, gdy serwer poczty ma routowany adres IP.

Krok 3. Ogranicz połączenia, aby chronić serwer przed atakami DoS

Liczba połączeń z serwerem SMTP powinna być ograniczona. Te parametry zależą od specyfikacji sprzętu serwerowego i jest to nominalne dzienne obciążenie. Główne parametry używane do obsługi limitów połączeń obejmują: całkowitą liczbę połączeń, całkowitą liczbę jednoczesnych połączeń i maksymalną szybkość połączenia. Utrzymanie optymalnych wartości tych parametrów może z czasem wymagać udoskonalenia. Toprevents Spam Floods and DoS Attacks ukierunkowane na Twoją infrastrukturę sieciową.

Krok 4. Aktywuj Reverse DNS, aby zablokować fałszywych nadawców

Większość systemów przesyłania wiadomości korzysta z wyszukiwań DNS w celu sprawdzenia istnienia domeny e-mail nadawcy przed zaakceptowaniem wiadomości. Odwrotne wyszukiwanie jest również interesującą opcją walki z fałszywymi nadawcami poczty. Po aktywowaniu odwrotnego wyszukiwania DNS serwer SMTP sprawdza, czy adres IP nadawcy jest zgodny z nazwą hosta i domeną, które zostały przesłane przez klienta SMTP wEHLO/HELO Command. Jest to bardzo przydatne w przypadku blokowania wiadomości, które nie przejdą testu dopasowania adresów.

Krok 5. Użyj serwerów DNSBL do walki z nadużyciami w przychodzącej poczcie e-mail

Jedną z najważniejszych konfiguracji ochrony serwera poczty elektronicznej jest użycie DNS – based blacklists. Sprawdzenie, czy domena lub adres IP nadawcy są znane serwerom DNSBL na całym świecie, może znacznie zmniejszyć ilość otrzymywanego spamu. Aktywacja tej opcji i użycie maksymalnej liczby serwerów DNSBL znacznie zmniejszy wpływ niechcianej poczty przychodzącej. Lista serwerów DNSBL wraz ze wszystkimi znanymi adresami IP i domenami spamerów do tego celu jest przechowywana na stronie internetowej, link do tej witryny to -https://www.spamhaus.org/organization/dnsblusage/

Krok 6. Aktywuj SPF, aby zapobiec fałszywym źródłom

Sender Policy Framework (SPF) to metoda używana do zapobiegania fałszywym adresom nadawcy. Obecnie prawie wszystkie obraźliwe wiadomości e-mail zawierają fałszywe adresy nadawcy. Sprawdzenie SPF zapewnia, że ​​wysyłający MTA może wysyłać pocztę w imieniu nazwy domeny nadawcy. Gdy SPF jest aktywowany na serwerze, rekord MX serwera wysyłającego (rekord DNS Mail Exchange) jest sprawdzany przed jakąkolwiek transmisją wiadomości.

Krok 7. Włącz SURBL, aby zweryfikować treść wiadomości

SURBL (Spam URI Real-time Block Lists) wykrywa niechciane wiadomości e-mail na podstawie nieprawidłowych lub złośliwych łączy w wiadomości. Posiadanie filtra SURBL pomaga chronić użytkowników przed złośliwym oprogramowaniem i atakami typu phishing. Obecnie nie wszystkie serwery pocztowe obsługują SURBL. Jeśli jednak serwer obsługi wiadomości obsługuje tę funkcję, aktywacja go zwiększy bezpieczeństwo serwera, a także całej sieci, ponieważ ponad 50% zagrożeń w Internecie pochodzi z treści wiadomości e-mail.

Krok 8. Utrzymuj lokalne czarne listy adresów IP, aby blokować spamerów

Posiadanie lokalnej czarnej listy adresów IP na serwerze poczty e-mail jest bardzo ważne w zwalczaniu określonych spamerów, którzy atakują tylko Ciebie. Utrzymanie listy może wymagać zasobów i czasu, ale przynosi prawdziwą wartość dodaną. Rezultatem jest szybki i niezawodny sposób na powstrzymanie niechcianych połączeń internetowych przed zakłócaniem systemu przesyłania wiadomości.

Krok 9. Zaszyfruj uwierzytelnianie POP3 i IMAP ze względu na ochronę prywatności

Połączenia POP3 i IMAP nie były pierwotnie budowane z myślą o bezpieczeństwie. W rezultacie są często używane bez silnego uwierzytelnienia. Jest to duża słabość, ponieważ hasła użytkowników są przesyłane w postaci zwykłego tekstu przez serwer pocztowy, dzięki czemu są łatwo dostępne dla hakerów i osób o złych zamiarach. SSLTLS jest najbardziej znanym i najłatwiejszym sposobem implementacji silnego uwierzytelniania; jest szeroko stosowany i uważany za wystarczająco niezawodny.

Krok 10. Miej co najmniej dwa rekordy MX dla dowolnego przełączania awaryjnego

Posiadanie konfiguracji przełączania awaryjnego jest bardzo ważne dla dostępności. Posiadanie jednego rekordu MX nigdy nie jest wystarczające do zapewnienia ciągłego przepływu poczty do danej domeny, dlatego zdecydowanie zaleca się skonfigurowanie co najmniej dwóch MX dla każdej domeny. Pierwsza jest ustawiona jako podstawowa, a druga jest używana, jeśli podstawowa z jakiegokolwiek powodu ulegnie awarii. Ta konfiguracja jest wykonywana naDNS Zone level.

Zabezpieczanie kont e-mail

W tej sekcji omówimy, jak zabezpieczyć konta e-mail i uniknąć ich włamania.

Zabezpieczenie po stronie klienta

Najważniejsze jest, aby Create complex passwords. Ponieważ istnieje wiele technik łamania haseł, takich jak brute-force, ataki słownikowe i zgadywanie haseł.

A strong password contains −

  • 7 do 16 znaków.
  • Wielkie i małe litery
  • Numbers
  • Znaki specjalne

Zawsze łącz hasło e-mail z innym oryginalnym e-mailem, do którego masz dostęp. W przypadku zhakowania tej wiadomości e-mail masz możliwość ponownego uzyskania dostępu.

Zainstaluj na swoim komputerze program antywirusowy poczty, aby każda wiadomość e-mail przychodząca do klienta poczty e-mail była skanowana, podobnie jak załączniki i łącza phishingowe.

Jeśli masz zwyczaj korzystania z dostępu internetowego, nigdy nie otwieraj załączników z rozszerzeniem.exe rozszerzenia.

W przypadku oficjalnej komunikacji z ważnymi danymi zaleca się używanie zaszyfrowanej wiadomości e-mail. Więc lepiej jest szyfrować komunikację między użytkownikami końcowymi, dobrym narzędziem do tego jestPGP Encryption Tool.