在本章中,我们将解释必须在邮件服务器和客户端站点上采取的安全措施.
强化邮件服务器
要强化邮件服务器,您需要遵循以下步骤 :
步骤1.配置邮件服务器不要打开中继
将邮件中继参数配置为非常严格,这一点非常重要.所有邮件服务器都有此选项,您可以在其中指定邮件服务器将邮件转发到的域或IP地址.此参数指定SMTP协议应将邮件转发给谁.开放中继可能会对您造成伤害,因为垃圾邮件发送者可以使用您的邮件服务器向其他人发送垃圾邮件,导致您的服务器被列入黑名单.
步骤2.设置SMTP身份验证以控制用户访问
SMTP身份验证通过首先提供用户名和密码强制使用您的服务器的用户获得发送邮件的权限.这有助于防止任何开放中继和滥用您的服务器.如果以正确的方式配置,则只有已知帐户才能使用服务器的SMTP发送电子邮件.当您的邮件服务器具有路由IP地址时,强烈建议使用此配置.
步骤3.限制连接以保护您的服务器免受DoS攻击
应限制与SMTP服务器的连接数.这些参数取决于服务器硬件的规格,它是每天的标称负载.用于处理连接限制的主要参数包括:连接总数,同时连接总数和最大连接速率.要保持这些参数的最佳值,可能需要随着时间的推移进行细化.它阻止针对您的网络基础架构的垃圾邮件泛滥和DoS攻击
.
步骤4.激活反向DNS以阻止虚假发件人
大多数邮件系统在接受邮件之前使用DNS查找来验证发件人的电子邮件域是否存在.反向查找也是打击伪造邮件发件人的一个有趣选项.激活反向DNS查找后,SMTP会验证发件人IP地址是否与SMTP客户端在 EHLO/HELO命令中提交的主机名和域名相匹配.这对于阻止未通过地址匹配测试的邮件非常有用.
步骤5.使用DNSBL服务器来对抗传入的电子邮件滥用
其中一个保护电子邮件服务器的最重要配置是使用基于DNS的黑名单.检查全球DNSBL服务器是否知道发件人域名或IP可以减少大量收到的垃圾邮件数量.激活此选项并使用最大数量的DNSBL服务器将大大减少未经请求的传入电子邮件的影响. DNSBL服务器列表以及用于此目的的所有已知垃圾邮件发送者IP和域都存储在网站中,该网站的链接是 - https://www.spamhaus.org/organization/dnsblusage/
步骤6.激活SPF以防止欺骗性来源
发件人策略框架(SPF)是一种用于防止欺骗性发件人ddresses的方法.如今,几乎所有滥用的电子邮件都带有虚假的发件人地址. SPF检查确保允许发送MTA代表发件人的域名发送邮件.在服务器上激活SPF时,在发送任何邮件之前验证发送服务器的MX记录(DNS邮件交换记录).
步骤7.启用SURBL验证邮件内容
SURBL(垃圾邮件URI实时阻止列表)根据邮件中的无效或恶意链接检测不需要的电子邮件.拥有SURBL过滤器有助于保护用户免受恶意软件和网络钓鱼攻击.目前,并非所有邮件服务器都支持SURBL.但是,如果您的消息服务器确实支持它,那么激活它将提高您的服务器安全性以及整个网络的安全性,因为超过50%的Internet Security威胁来自电子邮件内容.
步骤8.维护本地IP黑名单以阻止垃圾邮件发送者
在电子邮件服务器上拥有本地IP黑名单对于打击仅针对您的特定垃圾邮件发送者非常重要.列表的维护可以占用资源和时间,但它带来了真正的附加价值.结果是一种快速可靠的方法来阻止不必要的Internet连接打扰您的邮件系统.
步骤9.加密POP3和IMAP身份验证以保护隐私
POP3和IMAP连接最初并未考虑到安全性.因此,它们通常在没有强身份验证的情况下使用.这是一个很大的弱点,因为用户的密码通过邮件服务器以明文形式传输,因此黑客和恶意用户可以轻松访问它们. SSLTLS是实现强身份验证的最着名和最简单的方法;它被广泛使用并且被认为足够可靠.
步骤10.至少有两个MX记录用于任何故障转移
具有故障转移配置非常重要供应情况.拥有一条MX记录永远不足以确保邮件连续流向给定域,因此强烈建议为每个域设置至少两个MX.第一个设置为主设备,如果主设备因任何原因停机,则使用辅助设备.此配置在 DNS区域级别完成.
保护电子邮件帐户
在本节中,我们将讨论如何保护电子邮件帐户并避免被黑客入侵.
在客户端网站上保护
最重要的是创建复杂密码的.由于有许多技术可用于破解密码,如暴力破解,字典攻击和密码猜测.
强密码包含 :
7到16个字符.
大写和小写字母
数字
特殊字符
始终将电子邮件密码与您有权访问的其他正版电子邮件相关联.因此,如果此电子邮件遭到黑客攻击,您就有可能再次获得访问权限.
在您的计算机中安装邮件防病毒软件,以便您的电子邮件客户端中的每封电子邮件都像附件和网上诱骗链接.
如果你在使用网络访问的习惯,然后永远不要使用. exe 扩展名打开附件.
建议在正式与重要数据通信时使用加密电子邮件.因此最好在最终用户之间加密通信,这是一个很好的工具 PGP加密工具.