Configurez soigneusement les options de relais de messagerie pour éviter d’être un Relais ouvert
Il est très important de configurer votre paramètre de relais de messagerie pour qu’il soit très restrictif. Tous les serveurs de messagerie disposent de cette option, dans laquelle vous pouvez spécifier les domaines ou les adresses IP pour lesquels votre serveur de messagerie relaiera le courrier. En d’autres termes, ce paramètre spécifie pour qui votre protocole SMTP doit transférer le courrier. Une mauvaise configuration de cette option peut vous nuire car les spammeurs peuvent utiliser votre serveur de messagerie (et les ressources réseau) comme passerelle pour spammer les autres, ce qui entraîne votre mise sur liste noire.
Configurer l’authentification SMTP pour contrôler l’accès des utilisateurs
L’authentification SMTP force les personnes qui utilisent votre serveur à obtenir l’autorisation d’envoyer du courrier en fournissant d’abord un nom d’utilisateur et un mot de passe. Cela permet d’éviter les relais ouverts et les abus de votre serveur. S’ils sont configurés correctement, seuls les comptes connus peuvent utiliser vos serveurs SMTP pour envoyer des e-mails. Cette configuration est fortement recommandée lorsque votre serveur de messagerie a une adresse IP routée.
Limiter les connexions pour protéger votre serveur contre les attaques DoS
Le nombre de connexions à votre serveur SMTP doit être limité. Ces paramètres dépendent des spécifications du matériel du serveur (mémoire, bande passante de la carte réseau, CPU, etc.) et sa charge nominale par jour. Les principaux paramètres utilisés pour gérer les limites de connexion comprennent: le nombre total de connexions, le nombre total de connexions simultanées et le débit de connexion maximal. Pour maintenir des valeurs optimales pour ces paramètres, il peut être nécessaire de les affiner au fil du temps.
Cela pourrait être très utile pour atténuer les inondations de spam et les attaques DoS qui ciblent votre infrastructure réseau.
Activez le DNS inversé pour bloquer les expéditeurs faux
La plupart des systèmes de messagerie utilisent des recherches DNS pour vérifier l’existence du domaine de messagerie des expéditeurs avant d’accepter un message. Une recherche inversée est également une option intéressante pour lutter contre les faux expéditeurs de courrier. Une fois la recherche DNS inversée activée, votre SMTP vérifie que l’adresse IP des expéditeurs correspond à la fois aux noms d’hôte et de domaine soumis par le client SMTP dans la commande EHLO/HELO.
Ceci est très utile pour bloquer les messages qui échouent au test de correspondance d’adresse.
Utilisez des serveurs DNSBL pour lutter contre les abus d’e-mails entrants
L’une des configurations les plus importantes pour protéger votre serveur de messagerie consiste à utiliser des listes noires basées sur DNS. Vérifier si le domaine ou l’adresse IP de l’expéditeur est connu des serveurs DNSBL dans le monde entier (par exemple, Spamhaus, etc.), pourrait réduire considérablement la quantité de spam reçu. L’activation de cette option et l’utilisation d’un nombre maximum de serveurs DNSBL réduiront considérablement l’impact des e-mails entrants non sollicités.
Les serveurs DNSBL répertorient toutes les adresses IP et domaines de spammeurs connus à cet effet.
Activer SPF pour empêcher les sources usurpées
Le cadre de stratégie d’expéditeur (SPF) est une méthode utilisée pour empêcher les adresses d’expéditeur usurpées. De nos jours, presque tous les messages électroniques abusifs portent de fausses adresses d’expéditeur. La vérification SPF garantit que le MTA d’envoi est autorisé à envoyer du courrier au nom du nom de domaine de l’expéditeur. Lorsque SPF est activé sur votre serveur, l’enregistrement MX des serveurs d’envoi (l’enregistrement d’échange de courrier DNS) est validé avant la transmission du message.
Activer SURBL pour vérifier le contenu du message
SURBL (Listes de blocage en temps réel des URI de spam) détecte les e-mails indésirables en fonction de liens invalides ou malveillants dans un message. Avoir un filtre SURBL aide à protéger les utilisateurs contre les logiciels malveillants et les attaques de phishing. À l’heure actuelle, tous les serveurs de messagerie ne prennent pas en charge SURBL. Mais si votre serveur de messagerie le prend en charge, son activation augmentera la sécurité de votre serveur, ainsi que la sécurité de l’ensemble de votre réseau, car plus de 50% des menaces à la sécurité sur Internet proviennent du contenu des e-mails.
Maintenir des listes noires IP locales pour bloquer les spammeurs
Avoir une liste noire IP locale sur votre serveur de messagerie est très important pour contrer des spammeurs spécifiques qui ne vous ciblent que vous. La maintenance de la liste peut prendre des ressources et du temps, mais elle apporte une réelle valeur ajoutée. Le résultat est un moyen rapide et fiable d’empêcher les connexions Internet indésirables de déranger votre système de messagerie.
Crypter l’authentification POP3 et IMAP pour des raisons de confidentialité
Les connexions POP3 et IMAP n’ont pas été conçues à l’origine pour la sécurité. En conséquence, ils sont souvent utilisés sans authentification forte. C’est une grande faiblesse car les mots de passe des utilisateurs sont transmis en texte clair via votre serveur de messagerie, les rendant ainsi facilement accessibles aux pirates et aux personnes ayant des intentions malveillantes. SSLTLS est le moyen le plus connu et le plus simple d’implémenter une authentification forte; il est largement utilisé et considéré comme suffisamment fiable.
Avoir au moins 2 enregistrements MX pour le basculement
C’est le dernier conseil important, mais non le moindre. Avoir une configuration de basculement est très important pour la disponibilité. Avoir un enregistrement MX n’est jamais suffisant pour assurer un flux continu de courrier vers un domaine donné, c’est pourquoi il est fortement recommandé de configurer au moins 2 MX pour chaque domaine. Le premier est défini comme primaire et le secondaire est utilisé si le primaire tombe en panne pour une raison quelconque. Cette configuration se fait au niveau de la zone DNS.