Konfigurieren Sie die E-Mail-Relay-Optionen sorgfältig, um ein offenes Relais zu vermeiden
Es ist sehr wichtig, Ihren E-Mail-Relay-Parameter sehr restriktiv zu konfigurieren. Alle Mailserver verfügen über diese Option, mit der Sie angeben können, für welche Domänen oder IP-Adressen Ihr Mailserver E-Mails weiterleitet. Mit anderen Worten, dieser Parameter gibt an, an wen Ihr SMTP-Protokoll E-Mails weiterleiten soll. Eine Fehlkonfiguration dieser Option kann Ihnen schaden, da Spammer Ihren Mailserver (und Ihre Netzwerkressourcen) als Gateway für das Spammen anderer verwenden können, was dazu führt, dass Sie auf die schwarze Liste gesetzt werden.
SMTP-Authentifizierung einrichten, um den Benutzerzugriff zu steuern
Die SMTP-Authentifizierung zwingt die Benutzer, die Ihren Server verwenden, die Berechtigung zum Senden von E-Mails zu erhalten, indem sie zuerst einen Benutzernamen und ein Kennwort angeben. Dies hilft, offenes Relay und Missbrauch Ihres Servers zu verhindern. Wenn die richtige Art und Weise konfiguriert ist, können nur bekannte Konten Ihre Server SMTP verwenden, um E-Mails zu senden. Diese Konfiguration wird dringend empfohlen, wenn Ihr Mailserver über eine geroutete IP-Adresse verfügt.
Verbindungen begrenzen, um Ihren Server vor DoS-Angriffen zu schützen
Die Anzahl der Verbindungen zu Ihrem SMTP-Server sollte begrenzt sein. Diese Parameter hängen von den Spezifikationen der Serverhardware ab (Speicher, NIC-Bandbreite, CPU usw.) und seine Nennlast pro Tag. Zu den wichtigsten Parametern, die zur Behandlung von Verbindungslimits verwendet werden, gehören: Gesamtzahl der Verbindungen, Gesamtzahl der gleichzeitigen Verbindungen und maximale Verbindungsrate. Um optimale Werte für diese Parameter beizubehalten, kann eine Verfeinerung im Laufe der Zeit erforderlich sein.
Dies kann sehr hilfreich sein, um Spam-Floods und DoS-Angriffe auf Ihre Netzwerkinfrastruktur abzuschwächen.
Aktivieren Sie Reverse DNS, um falsche Absender zu blockieren
Die meisten Nachrichtensysteme verwenden DNS-Lookups, um die Existenz der E-Mail-Domäne des Absenders zu überprüfen, bevor Sie eine Nachricht annehmen. Eine Reverse-Lookup ist auch eine interessante Option zur Bekämpfung von gefälschten Mail-Absendern. Sobald die Reverse-DNS-Suche aktiviert ist, überprüft Ihr SMTP, ob die IP-Adresse des Absenders sowohl mit dem Host- als auch mit dem Domänennamen übereinstimmt, die vom SMTP-Client im Befehl EHLO / HELO übermittelt wurden.
Dies ist sehr nützlich, um Nachrichten zu blockieren, die den Adressanpassungstest nicht bestehen.
Verwenden Sie DNSBL-Server, um den Missbrauch eingehender E-Mails zu bekämpfen
Eine der wichtigsten Konfigurationen zum Schutz Ihres E-Mail-Servers ist die Verwendung von DNS-basierten Blacklists. Überprüfen, ob die Absenderdomäne oder IP von DNSBL-Servern weltweit bekannt ist (z. B. Spamhaus usw.), könnte die Menge an empfangenem Spam erheblich reduzieren. Wenn Sie diese Option aktivieren und eine maximale Anzahl von DNSBL-Servern verwenden, werden die Auswirkungen unerwünschter eingehender E-Mails erheblich verringert.
DNSBL-Server listen zu diesem Zweck alle bekannten Spammer-IPs und -Domains auf.
Aktivieren Sie SPF, um gefälschte Quellen zu verhindern
Sender Policy Framework (SPF) ist eine Methode zum Verhindern gefälschter Absenderadressen. Heutzutage tragen fast alle missbräuchlichen E-Mail-Nachrichten gefälschte Absenderadressen. Die SPF-Prüfung stellt sicher, dass der sendende MTA E-Mails im Namen des Domänennamens des Absenders senden darf. Wenn SPF auf Ihrem Server aktiviert ist, wird der MX-Eintrag des sendenden Servers (der DNS-Mail-Exchange-Eintrag) validiert, bevor die Nachrichtenübertragung stattfindet.
SURBL zur Überprüfung des Nachrichteninhalts aktivieren
SURBL (Spam URI Real-time Block Lists) erkennt unerwünschte E-Mails basierend auf ungültigen oder schädlichen Links in einer Nachricht. Ein SURBL-Filter schützt Benutzer vor Malware und Phishing-Angriffen. Derzeit unterstützen nicht alle Mailserver SURBL. Wenn Ihr Messaging-Server dies jedoch unterstützt, erhöht die Aktivierung die Serversicherheit sowie die Sicherheit Ihres gesamten Netzwerks, da mehr als 50% der Internetsicherheitsbedrohungen von E-Mail-Inhalten ausgehen.
Lokale IP-Sperrlisten verwalten, um Spammer zu blockieren
Eine lokale IP-Sperrliste auf Ihrem E-Mail-Server ist sehr wichtig, um bestimmten Spammern entgegenzuwirken, die nur auf Sie abzielen. Die Pflege der Liste kann Ressourcen und Zeit in Anspruch nehmen, bringt aber einen echten Mehrwert. Das Ergebnis ist eine schnelle und zuverlässige Möglichkeit, unerwünschte Internetverbindungen daran zu hindern, Ihr Nachrichtensystem zu stören.
Verschlüsseln Sie die POP3- und IMAP-Authentifizierung aus Datenschutzgründen
POP3- und IMAP-Verbindungen wurden ursprünglich nicht unter Berücksichtigung der Sicherheit erstellt. Daher werden sie häufig ohne starke Authentifizierung verwendet. Dies ist eine große Schwäche, da Benutzerpasswörter im Klartext über Ihren Mailserver übertragen werden, wodurch sie für Hacker und Personen mit böswilliger Absicht leicht zugänglich sind. SSLTLS ist der bekannteste und einfachste Weg, eine starke Authentifizierung zu implementieren; es ist weit verbreitet und gilt als zuverlässig genug.
Mindestens 2 MX-Einträge für Failover haben
Dies ist der letzte, aber nicht zuletzt wichtige Tipp. Eine Failover-Konfiguration ist für die Verfügbarkeit sehr wichtig. Ein MX-Eintrag ist niemals ausreichend, um einen kontinuierlichen E-Mail-Fluss zu einer bestimmten Domain sicherzustellen, weshalb dringend empfohlen wird, mindestens 2 MXs für jede Domain einzurichten. Der erste wird als Primär festgelegt, und der sekundäre wird verwendet, wenn der primäre aus irgendeinem Grund ausfällt. Diese Konfiguration erfolgt auf DNS-Zonenebene.