メールサーバーを保護するためのトップ10のヒント

Written by on in Articles

メールリレーオプションを慎重に設定して、オープンリレー

メールリレーパラメータを非常に制限するように設定することは非常に重要です。 すべてのメールサーバーにはこのオプションがあり、メールサーバーがメールを中継するドメインまたはIPアドレスを指定できます。 つまり、このパラメータには、SMTPプロトコルがメールを転送する相手を指定します。 このオプションを誤って設定すると、スパム送信者がメールサーバー(およびネットワークリソース)を他のスパム送信用のゲートウェイとして使用し、ブラックリストに登録される可能性があるため、害を及ぼす可能性があります。

ユーザーアクセスを制御するためのSMTP認証の設定

SMTP認証は、サーバーを使用するユーザーに、最初にユーザー名とパスワードを指定してメールを送信する許可を これは、オープンリレーやサーバーの悪用を防ぐのに役立ちます。 正しい方法で構成されている場合は、既知のアカウントのみがサーバーのSMTPを使用して電子メールを送信できます。 メールサーバーにルーティングされたIPアドレスがある場合は、この構成を強くお勧めします。

DoS攻撃からサーバーを保護するために接続を制限する

SMTPサーバーへの接続数を制限する必要があります。 これらのパラメータは、サーバーハードウェアの仕様(メモリ、NIC帯域幅、CPUなど)によって異なります。)および一日あたりのわずかな負荷。 接続制限を処理するために使用される主なパラメータには、接続の合計数、同時接続の合計数、および最大接続レートが含まれます。 これらのパラメータの最適値を維持するには、時間の経過とともに洗練が必要になる場合があります。

これは、ネットワークインフラストラクチャを標的とするスパムの洪水やDoS攻撃を軽減するのに非常に役立ちます。

逆引きDNSを有効にして偽の送信者をブロック

ほとんどのメッセージングシステムは、メッセージを受け入れる前にDNSルックアップを使用して送信者の電子メールドメインの存在を確認します。 逆引きも偽のメール送信者を撃退するための興味深いオプションです。 Dns逆引き参照を有効にすると、SMTPは送信者のIPアドレスがEHLO/HELOコマンドでSMTPクライアントによって送信されたホスト名とドメイン名の両方に一致

これは、アドレス一致テストに失敗したメッセージをブロックするために非常に貴重です。

DNSBLサーバーを使用して受信メールの悪用と戦う

メールサーバーを保護するための最も重要な構成の一つは、DNSベースのブラックリストを使用することです。 送信者ドメインまたはIPが世界中のDNSBLサーバーによって認識されているかどうかを確認します(例:Spamhausなど)。)、受信したスパムの量を大幅に削減することができます。 このオプションを有効にし、DNSBLサーバーの最大数を使用すると、迷惑な受信メールの影響が大幅に軽減されます。

DNSBLサーバーは、この目的のためにすべての既知のスパマー Ipとドメインを一覧表示します。

spfをアクティブ化して偽装ソースを防止

送信者ポリシーフレームワーク(SPF)は、偽装された送信者アドレスを防止するために使用される方法です。 今日では、ほぼすべての虐待的な電子メールメッセージは、偽の送信者アドレスを運ぶ。 SPFチェックでは、送信側MTAが送信者ドメイン名の代わりにメールを送信できるようにします。 サーバーでSPFがアクティブ化されると、メッセージ送信が行われる前に、送信サーバー MXレコード(DNSメール交換レコード)が検証されます。

SURBLによるメッセージ内容の確認を有効にする

SURBL(スパムURIリアルタイムブロックリスト)は、メッセージ内の無効または悪意のあるリンクに基づいて不要なメールを検出します。 SURBLフィルタを持つことは、マルウェアやフィッシング攻撃からユーザーを保護するのに役立ちます。 現時点では、すべてのメールサーバーがSURBLをサポートしているわけではありません。 しかし、メッセージングサーバーがそれをサポートしている場合、それを有効にすると、インターネットセキュリティの脅威の50%以上が電子メールの内容から来ているため、サーバーのセキュリティだけでなく、ネットワーク全体のセキュリティも向上します。

ローカルIPブラックリストを維持してスパマーをブロックする

メールサーバーにローカルIPブラックリストを持つことは、あなただけをターゲットとする特定のスパマーに対抗するために非常に重要です。 リストの維持は資源および時間を取ることができる実質の付加価値を持って来る。 その結果、不要なインターネット接続がメッセージングシステムに迷惑をかけるのを防ぐための迅速で信頼性の高い方法が得られます。

プライバシーの問題のためにPOP3とIMAP認証を暗号化

POP3とIMAP接続は、もともと安全性を念頭に置いて構築されていませんでした。 その結果、強力な認証なしで使用されることがよくあります。 ユーザーのパスワードはメールサーバーを介してクリアテキストで送信されるため、ハッカーや悪意のある人が簡単にアクセスできるため、これは大きな弱点です。 SSLTLSは、強力な認証を実装する最もよく知られており、最も簡単な方法です; それは広く使用され、十分に信頼性があると考えられています。

フェイルオーバー用に少なくとも2つのMXレコードを持っている

これは最後の重要なヒントですが、少なくとも重要なヒントです。 フェールオーバー構成を持つことは、可用性のために非常に重要です。 1つのMXレコードを持つことは、特定のドメインへのメールの継続的な流れを確保するのに十分ではないため、各ドメインに少なくとも2つのMxを設 最初のものはプライマリとして設定され、何らかの理由でプライマリがダウンした場合はセカンダリが使用されます。 この構成は、DNSゾーンレベルで実行されます。

コメントを残す

メールアドレスが公開されることはありません。