Configura attentamente le opzioni del relè di posta per evitare di essere un relè aperto
È molto importante configurare il parametro del relè di posta in modo che sia molto restrittivo. Tutti i server di posta hanno questa opzione, in cui è possibile specificare i domini o gli indirizzi IP per i quali il server di posta inoltrerà la posta. In altre parole, questo parametro specifica per chi il protocollo SMTP deve inoltrare la posta. Una configurazione errata di questa opzione può danneggiarti perché gli spammer possono utilizzare il server di posta (e le risorse di rete) come gateway per lo spamming di altri, con conseguente inserimento nella lista nera.
Imposta l’autenticazione SMTP per controllare l’accesso degli utenti
L’autenticazione SMTP costringe le persone che utilizzano il server a ottenere l’autorizzazione per inviare la posta fornendo prima un nome utente e una password. Questo aiuta a prevenire il relè aperto e l’abuso del server. Se configurato nel modo giusto, solo gli account noti possono utilizzare i server SMTP per inviare e-mail. Questa configurazione è altamente consigliata quando il server di posta ha un indirizzo IP instradato.
Limita le connessioni per proteggere il tuo server dagli attacchi DoS
Il numero di connessioni al tuo server SMTP dovrebbe essere limitato. Questi parametri dipendono dalle specifiche dell’hardware del server (memoria, larghezza di banda NIC,CPU, ecc.) e il suo carico nominale al giorno. I principali parametri utilizzati per gestire i limiti di connessione includono: numero totale di connessioni, numero totale di connessioni simultanee e velocità massima di connessione. Per mantenere i valori ottimali per questi parametri può richiedere affinamento nel tempo.
Questo potrebbe essere molto utile per mitigare le inondazioni di spam e gli attacchi DoS che colpiscono l’infrastruttura di rete.
Attiva il DNS inverso per bloccare i mittenti fasulli
La maggior parte dei sistemi di messaggistica utilizza le ricerche DNS per verificare l’esistenza del dominio e-mail dei mittenti prima di accettare un messaggio. Una ricerca inversa è anche un’opzione interessante per combattere i mittenti di posta fasulli. Una volta attivata la ricerca DNS inversa, l’SMTP verifica che l’indirizzo IP dei mittenti corrisponda sia all’host che ai nomi di dominio inviati dal client SMTP nel comando EHLO/HELO.
Questo è molto utile per bloccare i messaggi che non riescono il test di corrispondenza degli indirizzi.
Usa i server DNSBL per combattere l’abuso delle e-mail in arrivo
Una delle configurazioni più importanti per proteggere il tuo server e-mail è utilizzare blacklist basate su DNS. Verifica se il dominio o l’IP del mittente è conosciuto dai server DNSBL in tutto il mondo (ad esempio, Spamhaus, ecc.), potrebbe ridurre sostanzialmente la quantità di spam ricevuto. L’attivazione di questa opzione e l’utilizzo di un numero massimo di server DNSBL ridurrà notevolmente l’impatto delle e-mail in arrivo non richieste.
I server DNSBL elencano tutti gli IP e i domini spammer noti per questo scopo.
Attiva SPF per prevenire origini falsificate
Sender Policy Framework (SPF) è un metodo utilizzato per prevenire indirizzi mittente falsificati. Al giorno d’oggi, quasi tutti i messaggi di posta elettronica abusivi portano indirizzi di mittente falsi. Il controllo SPF garantisce che l’MTA di invio sia autorizzato a inviare posta per conto del nome di dominio dei mittenti. Quando SPF è attivato sul server, il record MX dei server di invio (il record DNS Mail Exchange) viene convalidato prima della trasmissione dei messaggi.
Abilita SURBL per verificare il contenuto del messaggio
SURBL (Spam URI Real-time Block Lists) rileva e-mail indesiderate basate su link non validi o dannosi all’interno di un messaggio. Avere un filtro SURBL aiuta a proteggere gli utenti da malware e attacchi di phishing. Al momento, non tutti i server di posta supportano SURBL. Ma se il tuo server di messaggistica lo supporta, attivandolo aumenterà la sicurezza del server e la sicurezza dell’intera rete poiché oltre il 50% delle minacce alla sicurezza di Internet provengono da contenuti e-mail.
Mantieni le blacklist IP locali per bloccare gli spammer
Avere una blacklist IP locale sul tuo server di posta elettronica è molto importante per contrastare gli spammer specifici che ti prendono di mira solo. La manutenzione dell’elenco può richiedere risorse e tempo, ma porta un reale valore aggiunto. Il risultato è un modo veloce e affidabile per fermare le connessioni Internet indesiderate da disturbare il sistema di messaggistica.
Crittografare l’autenticazione POP3 e IMAP per problemi di privacy
Le connessioni POP3 e IMAP non sono state originariamente create pensando alla sicurezza. Di conseguenza, vengono spesso utilizzati senza autenticazione forte. Questa è una grande debolezza dal momento che le password degli utenti vengono trasmessi in chiaro attraverso il server di posta, rendendoli così facilmente accessibili agli hacker e le persone con intenti malevoli. SSLTLS è il modo più noto e più semplice per implementare l’autenticazione forte; è ampiamente usato e considerato abbastanza affidabile.
Avere almeno 2 record MX per il failover
Questo è l’ultimo, ma non meno importante, suggerimento importante. Avere una configurazione di failover è molto importante per la disponibilità. Avere un record MX non è mai adeguato per garantire un flusso continuo di posta verso un determinato dominio, motivo per cui si consiglia vivamente di impostare almeno 2 MX per ogni dominio. Il primo è impostato come primario e il secondario viene utilizzato se il primario scende per qualsiasi motivo. Questa configurazione viene eseguita a livello di zona DNS.