Configure las opciones de retransmisión de correo cuidadosamente para evitar ser un Retransmisor abierto
Es muy importante configurar el parámetro de retransmisión de correo para que sea muy restrictivo. Todos los servidores de correo tienen esta opción, en la que puede especificar a qué dominios o direcciones IP enviará el correo su servidor de correo. En otras palabras, este parámetro especifica para quién debe reenviar el correo su protocolo SMTP. La configuración incorrecta de esta opción puede perjudicarlo porque los spammers pueden usar su servidor de correo (y los recursos de red) como puerta de enlace para enviar spam a otros, lo que resulta en su inclusión en la lista negra.
Configure la autenticación SMTP para controlar el acceso de los usuarios
La autenticación SMTP obliga a las personas que usan su servidor a obtener permiso para enviar correo al proporcionar primero un nombre de usuario y una contraseña. Esto ayuda a prevenir la retransmisión abierta y el abuso de su servidor. Si se configura de la manera correcta, solo las cuentas conocidas pueden usar SMTP de sus servidores para enviar correos electrónicos. Esta configuración es muy recomendable cuando su servidor de correo tiene una dirección IP enrutada.
Limite las conexiones para proteger su servidor contra ataques DoS
El número de conexiones a su servidor SMTP debe ser limitado. Estos parámetros dependen de las especificaciones del hardware del servidor (memoria, ancho de banda NIC, CPU, etc.).) y su carga nominal por día. Los parámetros principales utilizados para manejar los límites de conexión incluyen: número total de conexiones, número total de conexiones simultáneas y velocidad de conexión máxima. Para mantener los valores óptimos de estos parámetros puede ser necesario refinarlos con el tiempo.
Esto podría ser muy útil para mitigar las inundaciones de spam y los ataques DoS que se dirigen a su infraestructura de red.
Activar DNS inverso para bloquear remitentes falsos
La mayoría de los sistemas de mensajería utilizan búsquedas de DNS para verificar la existencia del dominio de correo electrónico de los remitentes antes de aceptar un mensaje. Una búsqueda inversa también es una opción interesante para luchar contra los remitentes de correo falsos. Una vez activada la búsqueda inversa de DNS, su SMTP verifica que la dirección IP de los remitentes coincida con los nombres de host y de dominio que envió el cliente SMTP en el comando EHLO/HELO.
Esto es muy valioso para bloquear mensajes que fallan en la prueba de coincidencia de direcciones.
Use servidores DNSBL para combatir el abuso de correo electrónico entrante
Una de las configuraciones más importantes para proteger su servidor de correo electrónico es usar listas negras basadas en DNS. Comprobar si los servidores DNSBL conocen el dominio o la IP del remitente en todo el mundo (por ejemplo, Spamhaus, etc.).), podría reducir sustancialmente la cantidad de spam recibido. La activación de esta opción y el uso de un número máximo de servidores DNSBL reducirán en gran medida el impacto de los correos electrónicos entrantes no solicitados.
Los servidores DNSBL listan todas las direcciones IP y dominios conocidos de spammers para este propósito.
Activar SPF para evitar fuentes falsificadas
El marco de políticas de remitente (SPF) es un método utilizado para evitar direcciones de remitente falsificadas. Hoy en día, casi todos los mensajes de correo electrónico abusivos llevan direcciones de remitente falsas. La comprobación de SPF garantiza que el MTA de envío esté autorizado a enviar correo en nombre del nombre de dominio del remitente. Cuando se activa SPF en su servidor, el registro MX de los servidores de envío (el registro de Intercambio de correo DNS) se valida antes de que tenga lugar la transmisión de mensajes.
Habilite SURBL para verificar el contenido del mensaje
SURBL (Listas de bloqueo de URI de spam en tiempo real) detecta correos electrónicos no deseados basados en enlaces no válidos o maliciosos dentro de un mensaje. Tener un filtro de SURBL ayuda a proteger a los usuarios de ataques de malware y phishing. En la actualidad, no todos los servidores de correo son compatibles con SURBL. Pero si su servidor de mensajería lo admite, activarlo aumentará la seguridad de su servidor, así como la seguridad de toda su red, ya que más del 50% de las amenazas a la seguridad de Internet provienen del contenido del correo electrónico.
Mantener listas negras de IP locales para bloquear a los spammers
Tener una lista negra de IP local en su servidor de correo electrónico es muy importante para contrarrestar a los spammers específicos que solo se dirigen a usted. El mantenimiento de la lista puede requerir recursos y tiempo, pero aporta un verdadero valor añadido. El resultado es una forma rápida y confiable de evitar que las conexiones a Internet no deseadas molesten a su sistema de mensajería.
Cifrar la autenticación POP3 e IMAP para cuestiones de privacidad
Las conexiones POP3 e IMAP no se crearon originalmente teniendo en cuenta la seguridad. Como resultado, a menudo se usan sin autenticación fuerte. Esta es una gran debilidad, ya que las contraseñas de los usuarios se transmiten en texto claro a través de su servidor de correo, lo que las hace fácilmente accesibles para los piratas informáticos y las personas con intenciones maliciosas. SSLTLS es la forma más conocida y sencilla de implementar la autenticación fuerte; es ampliamente utilizado y considerado lo suficientemente confiable.
Tener al menos 2 registros MX para conmutación por error
Este es el último, pero no menos importante, consejo importante. Tener una configuración de conmutación por error es muy importante para la disponibilidad. Tener un registro MX nunca es adecuado para garantizar un flujo continuo de correo a un dominio determinado, por lo que se recomienda encarecidamente configurar al menos 2 MXs para cada dominio. El primero se establece como primario, y el secundario se usa si el primario se cae por cualquier motivo. Esta configuración se realiza a nivel de zona DNS.