Mówiąc o zabezpieczeniach związanych z serwerem pocztowym, zwykle ograniczamy ten problem do wiadomości, które dotyczą zastosowanych zabezpieczeń, a jeszcze bardziej do ochrony antywirusowej i antyspamowej. Jest to jednak tylko jeden etap w bardziej złożonym procesie zabezpieczenia twojego serwera.Ten artykuł ma na celu zidentyfikowanie i wyjaśnienie wszystkich warstw bezpieczeństwa, co jest bardzo ważne przy wyborze konkretnego serwera poczty, a w konsekwencji podczas konfigurowania i korzystania z niego.
Wybraliśmy wielostopniowe podejście do procedury zabezpieczania serwera poczty, każdy etap dotyczy jednej z warstw zabezpieczeń, które uważamy za istotne: warstwa powiązana z połączeniem, bezpieczeństwo protokołu, parametry kontrolne poczty e-mail(w tym aplikacje antywirusowe i antyspamowe) oraz warstwa konfiguracji i zarządzania(najprawdopodobniej zostaną dotknięte ludzkimi błędami).
Jak utworzyć prosty serwer pocztowy [Windows 10]
http://www.axigen.com/mail-server-img/mail-server-securty-overview.jpg
W poniższych sekcjach opisano środki bezpieczeństwa dostosowane do każdej warstwy zabezpieczeń:
1. Zabezpieczanie połączeń serwera poczty
Podczas korzystania z nowo zainstalowanego serwera pocztowego administratorzy powinni najpierw upewnić się, że używają bezpiecznych połączeń. Istnieją dwie główne możliwości zabezpieczenia połączeń: szyfrowanie i reguły podobne do zapór ogniowych.
Metody kodowania są stale rozwijane, ponieważ Internet stał się preferowanym medium do przesyłania danych. Najczęściej stosowanymi metodami szyfrowania są SSL (Secure Sockets Layer) i TLS (Transport Layer Security). Jednak nieprawidłowe użycie szyfrowania często prowadzi do naruszeń bezpieczeństwa. Najczęściej spotykanymi przykładami są strony internetowe zawierające zarówno zabezpieczone, jak i niezabezpieczone informacje lub komunikaty zabezpieczone tylko po zalogowaniu za pomocą zwykłej strony logowania.
Reguły przypominające firewalla wymuszane na poziomie serwera są zalecane do tworzenia kopii zapasowych istniejącej zapory lub zastępowania jej, gdy nie jest dostępna. Mogą nakładać ograniczenia zarówno na ustanowione połączenia, jak i na hostowany ruch. Zalecamy tworzenie reguł allow / deny zarówno globalnie (zastosowane do wszystkich protokołów i detektorów), jak i specyficznie dla każdego detektora, aby zapobiec atakom takim jak DOS (odmowa usługi).
2. Zabezpieczanie protokołów serwera poczty
Po zabezpieczeniu pierwszego etapu przesyłania wiadomości e-mail następną operacją, którą należy wykonać, będzie zabezpieczenie protokołów.
Zalecane kroki to użycie wielu detektorów dla każdego interfejsu i skorelowanie ich z niektórymi regułami zezwalającymi i odmawiającymi. Ponadto ograniczenie liczby błędów połączenia i uwierzytelniania, maksymalna liczba poleceń lub ustawienie limitu czasu sesji może pomóc w ochronie serwera przed dalszymi atakami DOS.
Aby jeszcze bardziej zwiększyć bezpieczeństwo protokołu, zalecamy reguły kontroli klienta oparte na adresie nadawcy lub adresie oraz pewne ograniczenia dotyczące liczby i rozmiaru wiadomości e-mail.
Uwierzytelnianie jest również bardzo ważne na poziomie protokołu. Dzięki wdrożeniu kilku metod uwierzytelniania, zarówno prostych (zwykły, logowanie, CRAM-MD5), jak i złożonych (GSSAPI, Kerberos), serwer pocztowy zwiększa bezpieczeństwo komunikacji i jest lepiej wyposażony w ataki i nieautoryzowany dostęp.
Inne skuteczne rozwiązania na poziomie protokołów zapewniają, że twój serwer pocztowy jest zgodny z RFC i zapobiega pętlowaniu e-maili (bardzo prostą metodą byłoby ustawienie maksymalnej liczby nagłówków :Otrzymanych: dla każdej wiadomości e-mail).
3. Zabezpieczanie parametrów sterowania pocztą e-mail
Oprócz korzystania z różnych aplikacji antyspamowych i antywirusowych, należy pamiętać o dalszych działaniach związanych z bezpieczeństwem opartym na sterowaniu pocztą e-mail. Bardzo przydatną opcją byłoby używanie szarych list. Szary wpis jest w zasadzie prośbą o ponowne wysłanie wiadomości e-mail po tymczasowym odrzuceniu wiadomości e-mail. Serwer zapisuje na liście adres IP nadawcy i odbiorcę i zwraca błąd tymczasowy. Wszystkie prawidłowe serwery będą następnie ponownie wysyłać e-maile, w przeciwieństwie do skryptów spamujących. Należy jednak pamiętać, że wiele serwerów nie może w tym momencie rozróżnić między tymczasowym a stałym błędem.
Kontrola hosta to kolejny prosty sposób, aby upewnić się, że tylko poprawne wiadomości e-mail są dalej przetwarzane przez serwer poczty e-mail. Dwie dobrze znane metody to SPF (Sender Policy Framework) i oparte na DNS listy czarnych dziur. Rekordy SPF są publicznymi szczegółami publikowanymi przez domeny na serwerach DNS. Zazwyczaj wskazują i potwierdzają prawdziwe adresy domen. Korzystając z kontroli SPF, możesz skutecznie zapobiegać spamowi i rozproszeniu e-maili.
Czarne listy mogą być publiczne (bezpłatne) lub prywatne i zwykle zawierają adresy IP serwerów z otwartym przekaźnikiem, otwartych serwerów proxy i dostawców usług internetowych bez filtrowania spamu. Twój serwer musi być skonfigurowany tak, aby żądać takich list i nie akceptować połączeń inicjowanych przez adresy IP w nich zawarte. Jeśli jeden z Twoich serwerów zostanie błędnie wymieniony, aby go usunąć z tej listy, konieczne może być wypełnienie formularza online, skontaktowanie się z administratorami list lub, w trudniejszych sytuacjach, zmiana adresu IP.
Bardziej złożoną metodą uwierzytelniania jest DKIM (Domain Keys Identified Mail Signature). Wdrożony przez Yahoo i wspierany przez Google, Cisco, Sendmail, PGP, DKIM ma duże szanse stać się standardową metodą uwierzytelniania. Nagłówek wiadomości e-mail zawiera zaszyfrowany podpis i jest z kolei zaszyfrowany, wskazując zaszyfrowany klucz, opublikowany na serwerach DNS przez domenę wysyłającą. Serwer przetwarzający wiadomość e-mail użyje tego klucza do zdekodowania treści wiadomości e-mail. Jeśli odszyfrowanie zakończy się powodzeniem, wiadomość e-mail jest ważna.
Reguły przekazywania mogą czasami powodować różnicę między zabezpieczonym serwerem a niezabezpieczonym. Naszym pierwszym zaleceniem jest, aby nigdy nie przyjmować otwartych przekazów, ponieważ może to łatwo spowodować, że dostaniesz czarną listę. Dlatego powinieneś zaimplementować kilka reguł przekazywania na podstawie adresu nadawcy / adresu odbiorcy lub przekaźnika tylko dla uwierzytelnionych użytkowników. Wybierając serwer pocztowy, powinieneś upewnić się, że posiada on następujące funkcje: umożliwia tworzenie reguł przekazywania, uwierzytelnianie domeny jest konfigurowalne, interfejs wysyłający jest dostosowywany, obsługuje SSL / TSL i różne metody uwierzytelniania i rozszerzenia.
4. Bezpieczna konfiguracja i administracja
Konfiguracja i administracja nie są powszechnie uważane za warstwę bezpieczeństwa. Jednak funkcje konfiguracyjne oferowane przez serwer i rzeczywista konfiguracja dokonana przez użytkownika odgrywają kluczową rolę w zabezpieczaniu MTA. Po pierwsze, administrator powinien zapoznać się z rozwiązaniem, wszystkimi jego funkcjami i wszelkimi wadami, jeśli takie istnieją. Plik wykonywalny serwera musi obsługiwać programowanie bez wycieków pamięci, upuszczania uprawnień roota (tylko w systemach Unices) i blokowania wszystkich żądań dostępu, z wyjątkiem tych dla plików publicznych.
Dostęp do pliku konfiguracyjnego powinien być przyznany tylko administratorowi. Co więcej, plik powinien być zawsze bardzo szczegółowy, łatwy do zrozumienia i modyfikowany, a wszystkie wartości domyślne powinny być bezpieczne. Na przykład wartość domyślna zezwalająca na otwarcie przekaźnika będzie stanowić poważną lukę w zabezpieczeniach.
Należy udostępnić alternatywne moduły administracyjne (interfejs sieciowy, interfejs wiersza poleceń) do modyfikowania konfiguracji serwera. Bardzo ważne jest również, aby wszystkie połączenia z tymi modułami odbywały się za pośrednictwem protokołu SSL. Aby zapewnić bezpieczny dostęp do tych modułów, zalecamy korzystanie z serwera poczty z zastrzeżonym serwerem HTTP i językiem skryptowym opartym na języku HTML.
Naszym najbardziej kompletnym zaleceniem bezpieczeństwa jest wdrożenie systemu :inteligentnego hostingu:. Taki system składa się z kilku serwerów pocztowych zainstalowanych na różnych komputerach, z których każdy wykonuje określone zadanie. Serwer oferujący najlepsze zabezpieczenia połączeń i protokołów powinien skupiać się na ochronie firewalla. W drugim należy uruchomić parametry kontroli poczty e-mail (w tym aplikacje antyspamowe i antywirusowe). Trzeci powinien koncentrować się głównie na zarządzaniu domenami. Jednak inteligentny hosting może wymagać więcej zasobów sprzętowych i programowych niż te dostępne w Twoim systemie.
http://www.axigen.com/mail-server-img/smart-hosting.jpg
Wnioski
Najważniejszym aspektem, o którym należy pamiętać, jest to, że nie ma pełnego zabezpieczenia dowodowego; dlatego optymalna ochrona powinna zastąpić doskonałość. W każdej warstwie bezpieczeństwa są możliwe wady i naruszenia. Rozwiązaniem jest wybór najlepszej możliwej konfiguracji i dostosowanie jej do potrzeb i topologii sieci.
Jeśli masz dodatkowe pytania lub komentarze dotyczące treści tego artykułu, wyślij e-mail do zespołu wsparcia AXIGEN.