一种多阶段的方法来保护您的电子邮件通信
当谈到邮件服务器相关的安全性时,往往将问题限制在消息应用的安全措施上,甚至更多的是防病毒和反垃圾邮件保护。 然而,这只是在更复杂的安全服务器过程中的一个阶段。 本文旨在识别和解释所有安全层 ,在选择某个邮件服务器时,因此在配置和使用它时非常重要。
1.保护邮件服务器连接
当使用新安装的邮件服务器时,管理员应首先确保他们使用安全连接。 安全连接有两个主要的可能性: 加密和类似防火墙的规则 。
随着互联网已成为数据传输的首选媒介,编码方法不断发展。 最常用的加密方法是SSL(安全套接字层)和TLS(传输层安全性) 。 然而,加密的错误使用通常会导致安全漏洞。 最常见的示例是包含安全和不安全信息的网页,或仅通过普通登录页面登录后才能保护的通信。
建议在服务器级强制实施
类似防火墙的规则来备份现有的防火墙,或者在不可用的情况下将其替换。 他们可以对建立的连接和托管流量施加限制。 我们建议全局创建允许/拒绝规则(适用于所有协议和监听器),特别是为每个监听器创建允许/拒绝规则,以防止诸如DOS(拒绝服务)之类的攻击。
2.保护邮件服务器协议
在确保电子邮件传输的第一阶段之后,下一步采取的行动将是保护协议。
推荐的步骤是为每个接口使用多个监听器,并将它们与某些允许和拒绝规则相关联 。 另外,限制连接和身份验证错误的数量,会话的最大命令数或设置超时可以帮助保护您的服务器免受进一步的DOS攻击。
为了进一步增强协议安全性,我们建议客户端控制规则 ,基于发件人或接收方地址以及电子邮件数量和大小的一些限制。
认证在协议级别也非常重要。 通过实施简单(简单,登录,CRAM-MD5)或复杂(GSSAPI,Kerberos)的多种身份验证方法 ,邮件服务器增强了通信安全性,更好地配备了攻击和未经授权的访问。
其他有效的协议级解决方案正在确保您的邮件服务器符合RFC规定 ,并阻止电子邮件循环 (一个非常简单的方法将设置每封电子邮件的最大数量的“Received”标头)。
3.保护电子邮件控制参数
除了使用不同的反垃圾邮件和防病毒应用程序外,还应采取进一步措施,牢记基于电子邮件控制的安全性。 一个非常方便的选择是使用
灰色列表 。 灰色列表基本上是暂时拒绝电子邮件后发送电子邮件的请求。 服务器将列表中的发件人IP和收件人保存并返回一个临时错误。 所有有效的服务器将重新发送电子邮件,不像垃圾邮件脚本。 但请注意,许多服务器在此时间之间无法区分临时和永久性错误。
主机控制是确保只有电子邮件服务器进一步处理有效的电子邮件的另一种简单方法。 两种众所周知的方法是 SPF(发件人策略框架)和 基于DNS的黑洞列表 。 SPF记录是由DNS服务器内的域发布的公共信息。 通常他们指向并确认域的真实地址。 通过使用SPF检查,您可以成功地防止垃圾邮件和反向散布电子邮件。
黑名单可能是公开的(免费)或私有的,通常包含开放式中继服务器,开放代理和无垃圾邮件过滤的ISP的IP地址。 您的服务器需要设置,以便请求此类列表,而不接受由其中包含的IP地址发起的连接。 如果您的某个服务器被错误列出,要从这样的列表中删除,您可能需要填写在线表单,联系列表管理员,或者在更严重的情况下更改您的IP。
更复杂的身份验证方法是 DKIM(域密钥识别邮件签名) 。 雅虎实施并由Google,思科,Sendmail,PGP支持,DKIM有很大的机会成为标准的认证方法。 电子邮件头包含一个加密的签名,并被加密,指向加密的密钥,由发送域在DNS服务器上发布。 处理电子邮件的服务器将使用此密钥对电子邮件正文进行解码。 如果解密成功,则电子邮件是有效的。
中继规则有时可能会使安全服务器与不安全的服务器之间产生区别。 我们的第一个建议是永远不接受开放式中继,因为它可以很容易地让你黑名单。 因此,您应该根据发件人地址/收件人地址或仅针对经过身份验证的用户实施一些中继规则。 选择邮件服务器时,应确保具有以下功能:允许创建中继规则,域身份验证是可配置的,发送界面是可自定义的,它支持SSL / TSL和不同的身份验证方法和扩展。
主机控制是确保只有电子邮件服务器进一步处理有效的电子邮件的另一种简单方法。 两种众所周知的方法是 SPF(发件人策略框架)和 基于DNS的黑洞列表 。 SPF记录是由DNS服务器内的域发布的公共信息。 通常他们指向并确认域的真实地址。 通过使用SPF检查,您可以成功地防止垃圾邮件和反向散布电子邮件。
黑名单可能是公开的(免费)或私有的,通常包含开放式中继服务器,开放代理和无垃圾邮件过滤的ISP的IP地址。 您的服务器需要设置,以便请求此类列表,而不接受由其中包含的IP地址发起的连接。 如果您的某个服务器被错误列出,要从这样的列表中删除,您可能需要填写在线表单,联系列表管理员,或者在更严重的情况下更改您的IP。
更复杂的身份验证方法是 DKIM(域密钥识别邮件签名) 。 雅虎实施并由Google,思科,Sendmail,PGP支持,DKIM有很大的机会成为标准的认证方法。 电子邮件头包含一个加密的签名,并被加密,指向加密的密钥,由发送域在DNS服务器上发布。 处理电子邮件的服务器将使用此密钥对电子邮件正文进行解码。 如果解密成功,则电子邮件是有效的。
中继规则有时可能会使安全服务器与不安全的服务器之间产生区别。 我们的第一个建议是永远不接受开放式中继,因为它可以很容易地让你黑名单。 因此,您应该根据发件人地址/收件人地址或仅针对经过身份验证的用户实施一些中继规则。 选择邮件服务器时,应确保具有以下功能:允许创建中继规则,域身份验证是可配置的,发送界面是可自定义的,它支持SSL / TSL和不同的身份验证方法和扩展。
4.安全配置和管理
配置和管理通常不被视为安全层。 然而,服务器提供的可配置性功能和用户所做的实际配置在保护您的MTA方面发挥了关键作用。 首先,管理员应该熟悉解决方案,其所有功能和所有缺陷(如果有的话)。
服务器可执行文件需要支持没有内存泄漏的编程,丢弃root权限(仅适用于Unices系统),并阻止所有访问请求,除了公用文件。
只能向 管理员授予对 配置文件的访问权限。 此外,该文件应始终非常具体,易于理解和修改,而所有默认值都应该是安全的。 例如,允许开放式继电器的默认值将代表主要的安全漏洞。
应提供 备用管理模块 (Web界面,命令行界面)以修改服务器配置。 与这些模块的所有连接都是通过SSL制作也是非常重要的。 为了确保安全访问这些模块,我们建议使用具有 专有HTTP服务器和 基于HTML的脚本语言的邮件服务器。
我们最完整的安全建议是实施 “智能主机”系统。 这样的系统由安装在不同机器上的几个邮件服务器组成,每个执行特定任务。 提供最佳连接和协议安全性的服务器应侧重于防火墙保护。 第二个应该运行电子邮件控制参数(包括反垃圾邮件和防病毒应用程序)。 第三个应该主要关注域管理。 但是,智能主机可能需要比系统中更多的硬件和软件资源。
只能向 管理员授予对 配置文件的访问权限。 此外,该文件应始终非常具体,易于理解和修改,而所有默认值都应该是安全的。 例如,允许开放式继电器的默认值将代表主要的安全漏洞。
应提供 备用管理模块 (Web界面,命令行界面)以修改服务器配置。 与这些模块的所有连接都是通过SSL制作也是非常重要的。 为了确保安全访问这些模块,我们建议使用具有 专有HTTP服务器和 基于HTML的脚本语言的邮件服务器。
我们最完整的安全建议是实施 “智能主机”系统。 这样的系统由安装在不同机器上的几个邮件服务器组成,每个执行特定任务。 提供最佳连接和协议安全性的服务器应侧重于防火墙保护。 第二个应该运行电子邮件控制参数(包括反垃圾邮件和防病毒应用程序)。 第三个应该主要关注域管理。 但是,智能主机可能需要比系统中更多的硬件和软件资源。
智能主机
结论
你应该记住的最重要的一个方面是没有完整的证明安全; 因此,最佳保护应该取代完美。 在每个安全层,可能存在缺陷和破坏。 解决方案是选择最佳配置,并根据您的网络需求和拓扑结构进行调整。
有关进一步的信息,意见和问题,请随时访问 AXIGEN网站或放弃我们的支持团队(support@AXIGEN.com)。
有关进一步的信息,意见和问题,请随时访问 AXIGEN网站或放弃我们的支持团队(support@AXIGEN.com)。
