pečlivě nakonfigurujte možnosti přenosu pošty, abyste se vyhnuli otevřenému relé
je velmi důležité nakonfigurovat parametr přenosu pošty tak, aby byl velmi omezující. Všechny poštovní servery mají tuto možnost, kde můžete určit, pro které domény nebo IP adresy bude váš poštovní server odesílat poštu. Jinými slovy, tento parametr určuje, komu má váš protokol SMTP přeposílat poštu. Nesprávná konfigurace této možnosti vám může ublížit, protože spammeři mohou používat váš poštovní server (a síťové zdroje) jako bránu pro spamování ostatních, což vede k tomu, že se dostanete na černou listinu.
nastavení ověřování SMTP pro řízení přístupu uživatelů
ověřování SMTP nutí lidi, kteří používají váš server, aby získali povolení k odesílání pošty nejprve zadáním uživatelského jména a hesla. To pomáhá zabránit otevřenému relé a zneužití Vašeho serveru. Pokud je nakonfigurován správným způsobem, pouze známé účty mohou používat vaše servery SMTP k odesílání e-mailů. Tato konfigurace se důrazně doporučuje, pokud má váš poštovní server směrovanou IP adresu.
omezit připojení Chcete-li chránit váš server před útoky DoS
počet připojení k vašemu SMTP serveru by měl být omezen. Tyto parametry závisí na specifikacích hardwaru serveru (paměť, šířka pásma NIC, CPU atd.) a jeho jmenovité zatížení za den. Mezi hlavní parametry používané pro zpracování limitů připojení patří: celkový počet připojení, celkový počet současných připojení a maximální rychlost připojení. Pro udržení optimálních hodnot pro tyto parametry může vyžadovat upřesnění v průběhu času.
to by mohlo být velmi užitečné pro zmírnění spamových povodní a útoků DoS, které se zaměřují na vaši síťovou infrastrukturu.
aktivujte reverzní DNS pro blokování falešných odesílatelů
většina systémů zasílání zpráv používá vyhledávání DNS k ověření existence e-mailové domény odesílatelů před přijetím zprávy. Zpětné vyhledávání je také zajímavou možností pro boj s falešnými odesílateli pošty. Jakmile je aktivováno zpětné vyhledávání DNS, váš SMTP ověří, že adresa IP odesílatelů odpovídá jménům hostitele i domén, které byly zadány klientem SMTP v příkazu EHLO/HELO.
to je velmi cenné pro blokování zpráv, které selžou v testu shody adres.
použijte DNSBL servery k boji proti zneužívání příchozích e-mailů
jednou z nejdůležitějších konfigurací pro ochranu vašeho e-mailového serveru je použití blacklistů založených na DNS. Kontrola, zda je doména odesílatele nebo IP známa servery DNSBL po celém světě (např.), by mohlo podstatně snížit množství přijatého spamu. Aktivace této možnosti a použití maximálního počtu DNSBL serverů výrazně sníží dopad nevyžádaných příchozích e-mailů.
DNSBL servery seznam všech známých spammerů IP a domény pro tento účel.
aktivujte SPF, abyste zabránili falešným zdrojům
Sender Policy Framework (SPF) je metoda používaná k prevenci falešných adres odesílatele. Dnes, téměř všechny zneužívající e-mailové zprávy obsahují falešné adresy odesílatele. Kontrola SPF zajišťuje, že odesílající MTA může odesílat poštu jménem doménového jména odesílatelů. Když je SPF aktivován na vašem serveru, záznam MX odesílající servery (záznam DNS Mail Exchange) je ověřen před přenosem zprávy.
povolit SURBL ověřit obsah zprávy
SURBL (Spam URI seznamy bloků v reálném čase) detekuje nežádoucí e-mail na základě neplatných nebo škodlivých odkazů ve zprávě. S filtrem SURBL pomáhá chránit uživatele před malwarem a phishingovými útoky. V současné době ne všechny poštovní servery podporují SURBL. Pokud jej však váš server pro zasílání zpráv podporuje, jeho aktivace zvýší zabezpečení vašeho serveru i zabezpečení celé vaší sítě, protože více než 50% hrozeb pro zabezpečení Internetu pochází z e-mailového obsahu.
udržovat místní IP blacklisty blokovat spammery
mít místní IP blacklist na vašem e-mailovém serveru je velmi důležité pro potírání konkrétních spammerů, kteří se zaměřují pouze na vás. Údržba seznamu může trvat zdroje a čas, ale přináší skutečnou přidanou hodnotu. Výsledkem je rychlý a spolehlivý způsob, jak zabránit nežádoucímu připojení k Internetu v obtěžování vašeho systému zasílání zpráv.
šifrování ověřování POP3 a IMAP pro ochranu soukromí
připojení POP3 a IMAP nebyla původně postavena s ohledem na bezpečnost. V důsledku toho se často používají bez silné autentizace. To je velká slabost, protože hesla uživatelů jsou přenášena v čistém textu prostřednictvím vašeho poštovního serveru, čímž jsou snadno přístupná hackerům a lidem se zlým úmyslem. SSLTLS je nejznámější a nejjednodušší způsob implementace silné autentizace; je široce používán a považován za dostatečně spolehlivý.
mít alespoň 2 záznamy MX pro převzetí služeb při selhání
Toto je poslední, ale v neposlední řadě důležitý tip. Konfigurace převzetí služeb při selhání je pro dostupnost velmi důležitá. Mít jeden záznam MX není nikdy dostačující pro zajištění nepřetržitého toku pošty do dané domény, proto se důrazně doporučuje nastavit alespoň 2 MX pro každou doménu. První je nastaven jako primární a sekundární se používá, pokud primární z jakéhokoli důvodu klesá. Tato konfigurace se provádí na úrovni zóny DNS.