在谈到与邮件服务器相关的安全性时,人们倾向于将该问题限制为邮件应用的安全措施,甚至更多地限于防病毒和反垃圾邮件防护。但是,这只是服务器保护这一更为复杂的过程中的一个阶段。本文旨在识别和解释所有安全层,这些安全层在选择特定邮件服务器以及因此进行配置和使用时非常重要。
1.保护邮件服务器连接
使用新安装的邮件服务器时,管理员应首先确保它们使用安全连接。保护连接的主要方法有两种:加密和类似于防火墙的规则。
随着Internet成为数据传输的首选介质,编码方法已经得到了不断发展。最常用的加密方法是SSL(安全套接字层)和TLS(传输层安全性)。但是,不正确使用加密通常会导致安全漏洞。最常见的示例是同时包含安全信息和不安全信息的网页,或者仅在通过纯登录页面登录后才受通信保护的网页。
建议在服务器级别实施类似于防火墙的规则,以备份现有防火墙或在不可用时替换现有防火墙。它们可能对既定的连接和托管流量都施加限制。我们建议在全局(适用于所有协议和侦听器)以及专门针对每个侦听器创建允许/拒绝规则,以防止诸如DOS(拒绝服务)之类的攻击。 2.保护邮件服务器协议在确保电子邮件传输的第一阶段安全之后,接下来要采取的行动就是保护协议。
建议的步骤是对每个接口使用多个侦听器,并将它们与某些允许和拒绝规则相关联。同样,限制连接和身份验证错误的数量,命令的最大数量或为会话设置超时可以帮助保护服务器免受进一步的DOS攻击。
为了进一步增强协议安全性,我们建议根据发送者或接收者的地址以及某些有关电子邮件数量和大小的限制来控制客户端控制规则。
认证在协议级别上也非常重要。通过实现几种身份验证方法邮件服务器,无论是简单的(普通,登录,CRAM-MD5)还是复杂的(GSSAPI,Kerberos),都可以增强通信安全性,并更好地抵抗攻击和未经授权的访问。
其他有效的协议级解决方案可确保您的邮件服务器符合RFC规范,并防止电子邮件循环(一种非常简单的方法是为每封电子邮件设置“接收”标头的最大数量)。
3.保护电子邮件控制参数除了使用不同的“反垃圾邮件”和“防病毒”应用程序之外,在考虑基于电子邮件控制的安全性时,还应牢记其他操作。一种非常方便的选择是使用灰色列表。灰色列表基本上是在暂时拒绝电子邮件后重新发送电子邮件的请求。服务器将发件人IP和收件人保存在列表中,并返回临时错误。然后,与垃圾邮件脚本不同,所有有效的服务器将重新发送电子邮件。但是请注意,许多服务器目前无法区分暂时错误和永久错误。主机控制是确保邮件服务器仅进一步处理有效电子邮件的另一种简便方法。两种众所周知的方法是SPF(发件人策略框架)和基于DNS的黑洞列表。SPF记录是DNS服务器中的域发布的公共详细信息。通常,他们指向并确认域的真实地址。通过使用SPF检查,您可以成功地阻止垃圾邮件和反向散射电子邮件。
黑名单可以是公共的(免费的)或私有的,通常包含开放中继服务器,开放代理和ISP的IP地址,且没有垃圾邮件过滤功能。您的服务器需要设置为请求此类列表,而不接受由其中包含的IP地址发起的连接。如果您的一台服务器被错误列出,要从这样的列表中删除,则可能需要填写在线表单,联系列表管理员,或者在更严重的情况下更改IP。
更复杂的身份验证方法是DKIM(域密钥标识的邮件签名)。由Yahoo实施并得到Google,Cisco,Sendmail,PGP和DKIM的支持,DKIM很有可能成为标准身份验证方法。电子邮件标头包含一个加密的签名,并依次由发送域进行加密,指向一个加密的密钥,并在DNS服务器上发布。处理电子邮件的服务器将使用此密钥来解码电子邮件正文。如果解密成功,则电子邮件有效。
接力规则有时会使安全服务器和不安全服务器有所不同。我们的第一个建议是不要接受开放中继,因为它很容易使您黑名单。因此,您应该基于发件人地址/收件人地址实施一些中继规则,或者仅对经过身份验证的用户进行中继。选择邮件服务器时,应确保它具有以下功能:它允许创建中继规则,域身份验证是可配置的,发送接口是可自定义的,它支持SSL / TSL以及不同的身份验证方法和扩展。
4.安全的配置和管理配置和管理通常不被视为安全层。但是,服务器提供的可配置性功能和用户进行的实际配置是确保MTA安全的关键部分。首先,管理员应该熟悉该解决方案,其所有功能和所有缺陷(如果有)。该服务器可执行文件需要支持,没有内存泄漏编程,下降root权限(仅在Unix系统系统)和阻塞除了那些公开的文件的所有访问请求。
访问配置文件应该只授予管理员。此外,文件应始终非常具体,易于理解和修改,而所有默认值均应确保安全。例如,允许开放中继的默认值将代表一个主要的安全漏洞。应该提供
备用管理模块(Web界面,命令行界面)来修改服务器配置。与这些模块的所有连接均通过SSL进行连接也非常重要。为了确保您安全地访问这些模块,我们建议使用带有专有HTTP服务器和基于HTML的脚本语言的邮件服务器。
我们最完整的安全建议是实施“智能主机”系统。这样的系统由安装在不同计算机上的几个邮件服务器组成,每个服务器执行特定的任务。提供最佳连接和协议安全性的服务器应侧重于防火墙保护。第二个应运行电子邮件控制参数(包括反垃圾邮件和防病毒应用程序)。第三个应该主要集中在域管理上。但是,智能托管可能需要比系统中可用的硬件和软件资源更多的资源。
智能托管 结论您应牢记的最重要方面是,没有完整的证明安全性。因此,最佳保护应该代替完美。在每个安全层,都可能存在漏洞和漏洞。解决方案是选择最佳的配置,使其适应网络的需求和拓扑。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有