Segurança na Internet - Segurança de e-mail

Neste capítulo, explicaremos as medidas de segurança que devem ser tomadas em um servidor de e-mail e em um site cliente.

Endurecendo um servidor de correio

Para proteger um servidor de e-mail, você precisará seguir as seguintes etapas -

Etapa 1. Configure o servidor de e-mail para não ter Open Relay

É muito importante configurar seus parâmetros de retransmissão de email para serem muito restritivos. Todos os servidores de e-mail têm essa opção, onde você pode especificar para quais domínios ou endereços IP o seu servidor de e-mail retransmitirá os e-mails. Este parâmetro especifica para quem seu protocolo SMTP deve encaminhar os emails. Uma retransmissão aberta pode prejudicá-lo porque os spammers podem usar seu servidor de e-mail para enviar spam para outras pessoas, resultando em seu servidor na lista negra.

Etapa 2. Configure a autenticação SMTP para controlar o acesso do usuário

A autenticação SMTP força as pessoas que usam seu servidor a obter permissão para enviar e-mails, fornecendo primeiro um nome de usuário e uma senha. Isso ajuda a prevenir qualquer retransmissão aberta e abuso de seu servidor. Se configurado da maneira certa, apenas contas conhecidas podem usar o SMTP do seu servidor para enviar um e-mail. Esta configuração é altamente recomendada quando o seu servidor de e-mail tem um endereço IP roteado.

Etapa 3. Limite as conexões para proteger seu servidor contra ataques DoS

O número de conexões com o servidor SMTP deve ser limitado. Esses parâmetros dependem das especificações do hardware do servidor e é uma carga nominal por dia. Os principais parâmetros usados ​​para controlar os limites de conexão incluem: Número total de conexões, número total de conexões simultâneas e taxa máxima de conexão. Manter os valores ideais para esses parâmetros pode exigir refinamento ao longo do tempo. istoprevents Spam Floods and DoS Attacks que visam sua infraestrutura de rede.

Etapa 4. Ative DNS reverso para bloquear remetentes falsos

A maioria dos sistemas de mensagens usa pesquisas de DNS para verificar a existência do domínio de e-mail do remetente antes de aceitar uma mensagem. Uma pesquisa reversa também é uma opção interessante para combater remetentes de email falsos. Depois que a pesquisa reversa de DNS é ativada, seu SMTP verifica se o endereço IP do remetente corresponde aos nomes de host e domínio que foram enviados pelo cliente SMTP noEHLO/HELO Command. Isso é muito valioso para bloquear mensagens que falham no teste de correspondência de endereço.

Etapa 5. Use servidores DNSBL para combater o abuso de e-mail de entrada

Uma das configurações mais importantes para proteger seu servidor de e-mail é usar DNS – based blacklists. Verificar se o domínio ou IP do remetente é conhecido pelos servidores DNSBL em todo o mundo pode reduzir substancialmente a quantidade de spam recebido. Ativar essa opção e usar um número máximo de servidores DNSBL reduzirá muito o impacto de e-mails recebidos não solicitados. A lista de servidores DNSBL, juntamente com todos os IPs e domínios de spammers conhecidos para esse fim, são armazenados em um site, o link para este site é -https://www.spamhaus.org/organization/dnsblusage/

Etapa 6. Ative o SPF para evitar fontes falsificadas

O Sender Policy Framework (SPF) é um método usado para evitar endereços de remetentes falsificados. Hoje em dia, quase todas as mensagens de e-mail abusivas carregam endereços de remetentes falsos. A verificação SPF garante que o MTA remetente tem permissão para enviar mensagens em nome do nome de domínio do remetente. Quando o SPF é ativado em seu servidor, o registro MX do servidor de envio (o registro DNS Mail Exchange) é validado antes que qualquer transmissão de mensagem ocorra.

Etapa 7. Habilite SURBL para verificar o conteúdo da mensagem

O SURBL (Listas de bloqueio em tempo real de URI de spam) detecta e-mail indesejado com base em links inválidos ou maliciosos em uma mensagem. Ter um filtro SURBL ajuda a proteger os usuários contra malware e ataques de phishing. No momento, nem todos os servidores de e-mail oferecem suporte ao SURBL. Mas se o seu servidor de mensagens oferecer suporte, ativá-lo aumentará a segurança do servidor, bem como a segurança de toda a sua rede, já que mais de 50% das ameaças à segurança da Internet vêm do conteúdo de e-mail.

Etapa 8. Manter listas negras de IP locais para bloquear Spammers

Ter uma lista negra de IP local em seu servidor de e-mail é muito importante para combater spammers específicos que têm como alvo apenas você. A manutenção da lista pode consumir recursos e tempo, mas traz um verdadeiro valor acrescentado. O resultado é uma maneira rápida e confiável de impedir que conexões indesejadas com a Internet atrapalhem seu sistema de mensagens.

Etapa 9. Criptografar autenticação POP3 e IMAP para questões de privacidade

As conexões POP3 e IMAP não foram construídas originalmente com a segurança em mente. Como resultado, eles geralmente são usados ​​sem autenticação forte. Este é um grande ponto fraco, pois as senhas dos usuários são transmitidas em texto não criptografado por meio do seu servidor de e-mail, tornando-as facilmente acessíveis a hackers e pessoas com más intenções. O SSLTLS é a maneira mais conhecida e fácil de implementar autenticação forte; é amplamente utilizado e considerado confiável o suficiente.

Etapa 10. Ter pelo menos dois registros MX para qualquer failover

Ter uma configuração de failover é muito importante para a disponibilidade. Ter um registro MX nunca é adequado para garantir um fluxo contínuo de e-mail para um determinado domínio, por isso é altamente recomendável configurar pelo menos dois MXs para cada domínio. O primeiro é definido como primário e o secundário é usado se o primário for desativado por qualquer motivo. Esta configuração é feita noDNS Zone level.

Protegendo contas de e-mail

Nesta seção, discutiremos como proteger as contas de e-mail e evitar que sejam hackeadas.

Proteção no local do cliente

O mais importante é Create complex passwords. Como existem muitas técnicas disponíveis para quebrar as senhas, como força bruta, ataques de dicionário e adivinhação de senha.

A strong password contains −

  • 7 a 16 caracteres.
  • Letras maiúsculas e minúsculas
  • Numbers
  • Caracteres especiais

Sempre conecte a senha do e-mail a outro e-mail genuíno ao qual você tenha acesso. Portanto, caso este e-mail seja hackeado, você tem a possibilidade de obter acesso novamente.

Instale em seu computador um antivírus de e-mail, para que cada e-mail que chega em seu cliente de e-mail seja verificado como anexos e links de phishing.

Se você tem o hábito de usar o acesso à web, nunca abra anexos com o.exe extensões.

É recomendado usar um e-mail criptografado ao se comunicar oficialmente com dados importantes. Então é melhor que a comunicação seja criptografada entre os usuários finais, uma boa ferramenta para isso éPGP Encryption Tool.