configureer mail relay-opties zorgvuldig om te voorkomen dat het een Open Relay
is het is erg belangrijk om uw mail relay-parameter zeer beperkend te configureren. Alle mailservers hebben deze optie, waarbij u kunt opgeven voor welke domeinen of IP-adressen uw mailserver mail zal doorsturen. Met andere woorden, deze parameter geeft aan voor wie je SMTP protocol mail moet doorsturen. Verkeerde configuratie van deze optie kan schadelijk zijn omdat spammers uw mailserver (en netwerkbronnen) kunnen gebruiken als een gateway voor het spammen van anderen, wat resulteert in het krijgen van een zwarte lijst.
SMTP-authenticatie instellen om gebruikerstoegang te beheren
SMTP-authenticatie dwingt de gebruikers die uw server gebruiken om toestemming te verkrijgen om e-mail te verzenden door eerst een gebruikersnaam en wachtwoord op te geven. Dit helpt om open relay en misbruik van uw server te voorkomen. Als het op de juiste manier is geconfigureerd, kunnen alleen Bekende accounts uw servers SMTP gebruiken om e-mail te verzenden. Deze configuratie wordt sterk aanbevolen als uw mailserver een gerouteerd IP-adres heeft.
verbindingen beperken om uw server te beschermen tegen DoS-aanvallen
het aantal verbindingen met uw SMTP-server moet worden beperkt. Deze parameters zijn afhankelijk van de specificaties van de server hardware (geheugen, NIC bandbreedte, CPU, enz.) en de nominale belasting per dag. De belangrijkste parameters die worden gebruikt om verbindingslimieten af te handelen zijn: totaal aantal verbindingen, totaal aantal gelijktijdige verbindingen en maximale verbindingssnelheid. Om optimale waarden voor deze parameters te behouden kan verfijning na verloop van tijd nodig zijn.
dit kan zeer nuttig zijn om spam-overstromingen en DoS-aanvallen die gericht zijn op uw netwerkinfrastructuur te verminderen.
Reverse DNS activeren om valse afzenders te blokkeren
de meeste messaging-systemen gebruiken DNS-lookups om het bestaan van het e-maildomein van afzenders te verifiëren voordat een bericht wordt geaccepteerd. Een reverse lookup is ook een interessante optie voor het bestrijden van valse mailafzenders. Zodra Reverse DNS Lookup is geactiveerd, controleert uw SMTP of het IP-adres van de afzenders overeenkomt met zowel de host-als domeinnamen die door de SMTP-client zijn ingediend in het EHLO/HELO Commando.
dit is zeer waardevol voor het blokkeren van berichten die niet voldoen aan de adresvergelijkingstest.
DNSBL-servers gebruiken om inkomend e-mailmisbruik te bestrijden
een van de belangrijkste configuraties voor het beschermen van uw e-mailserver is het gebruik van DNS-gebaseerde zwarte lijsten. Controleren of het afzenderdomein of IP bekend is bij dnsbl servers wereldwijd (bijvoorbeeld Spamhaus, enz.), kan aanzienlijk bezuinigen op de hoeveelheid ontvangen spam. Het activeren van deze optie en het gebruik van een maximum aantal dnsbl-servers zal de impact van ongevraagde inkomende e-mail sterk verminderen.
dnsbl-servers tonen alle bekende spammers-IP ‘ s en domeinen voor dit doel.
SPF activeren om vervalste bronnen te voorkomen
Sender Policy Framework (SPF) is een methode die wordt gebruikt om vervalste afzenderadressen te voorkomen. Tegenwoordig dragen bijna alle beledigende e-mailberichten valse afzenderadressen. De SPF-controle zorgt ervoor dat de verzendende MTA e-mail mag versturen namens de afzenders domeinnaam. Wanneer SPF is geactiveerd op uw server, wordt de verzendende servers MX record (de DNS Mail Exchange record) gevalideerd voordat bericht transmissie plaatsvindt.
schakel SURBL in om berichtinhoud te verifiëren
SURBL (spam URI Real-time Block Lists) detecteert ongewenste e-mail op basis van ongeldige of kwaadaardige links binnen een bericht. Het hebben van een SURBL filter helpt om gebruikers te beschermen tegen malware en phishing-aanvallen. Op dit moment ondersteunen niet alle mailservers SURBL. Maar als je messaging server het ondersteunt, zal het activeren ervan de beveiliging van je server verhogen, evenals de beveiliging van je hele netwerk, omdat meer dan 50% van de bedreigingen voor internetbeveiliging afkomstig zijn van e-mailinhoud.
handhaaf lokale IP blacklists om spammers
het hebben van een lokale IP blacklist op uw e-mailserver is erg belangrijk voor het tegengaan van specifieke spammers die alleen op u gericht zijn. Het bijhouden van de lijst kan middelen en tijd kosten, maar het levert wel een echte meerwaarde op. Het resultaat is een snelle en betrouwbare manier om ongewenste internetverbindingen te stoppen van het lastig vallen van uw messaging systeem.
POP3-en IMAP-authenticatie versleutelen voor privacykwesties
POP3-en IMAP-verbindingen werden oorspronkelijk niet gebouwd met het oog op veiligheid. Als gevolg hiervan worden ze vaak gebruikt zonder sterke authenticatie. Dit is een grote zwakte omdat gebruikers wachtwoorden worden verzonden in duidelijke tekst via uw mailserver, waardoor ze gemakkelijk toegankelijk zijn voor hackers en mensen met kwaadaardige bedoelingen. SSLTLS is de bekendste en gemakkelijkste manier om sterke authenticatie te implementeren; het wordt veel gebruikt en als betrouwbaar genoeg beschouwd.
hebben ten minste 2 MX-records voor failover
dit is de laatste, maar niet de minste, belangrijke tip. Het hebben van een failover-configuratie is erg belangrijk voor de beschikbaarheid. Het hebben van een MX record is nooit voldoende voor het waarborgen van een continue stroom van mail naar een bepaald domein, dat is waarom het sterk wordt aanbevolen om het opzetten van ten minste 2 MXs voor elk domein. De eerste wordt ingesteld als de primaire, en de secundaire wordt gebruikt als de primaire naar beneden gaat om welke reden dan ook. Deze configuratie wordt gedaan op het niveau van de DNS-Zone.