skonfiguruj opcje przekaźnika poczty ostrożnie, aby uniknąć bycia otwartym przekaźnikiem
bardzo ważne jest, aby skonfigurować parametr przekaźnika poczty, aby był bardzo restrykcyjny. Wszystkie serwery pocztowe mają tę opcję, gdzie można określić, które domeny lub adresy IP serwer pocztowy będzie przekazywać pocztę. Innymi słowy, ten parametr określa, komu protokół SMTP powinien przekazywać pocztę. Błędna konfiguracja tej opcji może zaszkodzić, ponieważ spamerzy mogą używać twojego serwera pocztowego (i zasobów sieciowych) jako bramy do spamowania innych, co skutkuje otrzymaniem czarnej listy.
Skonfiguruj uwierzytelnianie SMTP, aby kontrolować dostęp użytkowników
uwierzytelnianie SMTP zmusza osoby korzystające z twojego serwera do uzyskania zgody na wysyłanie poczty, najpierw podając nazwę użytkownika i hasło. Pomaga to zapobiec otwartemu przekaźnikowi i nadużyciom serwera. Jeśli skonfigurowany we właściwy sposób, tylko znane konta mogą używać serwerów SMTP do wysyłania wiadomości e-mail. Ta konfiguracja jest wysoce zalecana, gdy serwer pocztowy ma routowany adres IP.
Ogranicz połączenia aby chronić serwer przed atakami DoS
liczba połączeń z serwerem SMTP powinna być ograniczona. Parametry te zależą od specyfikacji sprzętu serwera (pamięć, przepustowość karty sieciowej, procesor itp.) i jego nominalne obciążenie na dzień. Główne parametry używane do obsługi limitów połączeń obejmują: całkowitą liczbę połączeń, całkowitą liczbę jednoczesnych połączeń i maksymalną szybkość połączenia. Aby utrzymać optymalne wartości dla tych parametrów może wymagać udoskonalenia w czasie.
może to być bardzo pomocne w łagodzeniu powodzi spamu i ataków DoS, które dotyczą infrastruktury sieciowej.
Aktywuj Reverse DNS, aby zablokować fałszywych nadawców
większość systemów wiadomości używa wyszukiwań DNS, aby zweryfikować istnienie domeny e-mail nadawców przed zaakceptowaniem wiadomości. Odwrotne wyszukiwanie jest również interesującą opcją do zwalczania fałszywych nadawców poczty. Po aktywacji odwrotnego wyszukiwania DNS Twój SMTP sprawdza, czy adres IP nadawcy pasuje zarówno do nazwy hosta, jak i domeny, które zostały przesłane przez Klienta SMTP w poleceniu EHLO/HELO.
jest to bardzo cenne w przypadku blokowania wiadomości, które nie spełniają testu dopasowania adresu.
użyj serwerów DNSBL do zwalczania nadużyć przychodzących wiadomości e-mail
jedną z najważniejszych konfiguracji ochrony serwera poczty e-mail jest użycie czarnych list opartych na DNS. Sprawdzanie, czy domena nadawcy lub adres IP są znane serwerom DNSBL na całym świecie(np.), może znacznie zmniejszyć ilość otrzymywanego spamu. Aktywacja tej opcji i użycie maksymalnej liczby serwerów DNSBL znacznie zmniejszy wpływ niechcianej poczty przychodzącej.
serwery DNSBL wymieniają wszystkie znane adresy IP i domeny spamerów w tym celu.
Aktywuj SPF, aby zapobiec fałszywym źródłom
Sender Policy Framework (SPF) to metoda używana do zapobiegania fałszywym adresom nadawców. W dzisiejszych czasach prawie wszystkie obraźliwe wiadomości e-mail zawierają fałszywe adresy nadawców. Kontrola SPF zapewnia, że wysyłający MTA może wysyłać pocztę w imieniu nazwy domeny nadawców. Gdy SPF jest aktywowany na serwerze, rekord MX serwerów wysyłających (rekord wymiany poczty DNS) jest sprawdzany przed transmisją wiadomości.
Włącz SURBL, aby zweryfikować treść wiadomości
SURBL (Spam URI real-time Block Lists) wykrywa niechciane wiadomości e-mail na podstawie nieprawidłowych lub złośliwych linków w wiadomości. Filtr SURBL pomaga chronić użytkowników przed złośliwym oprogramowaniem i atakami phishingowymi. Obecnie nie wszystkie serwery pocztowe obsługują SURBL. Ale jeśli serwer wiadomości obsługuje go, aktywacja go zwiększy bezpieczeństwo serwera, a także bezpieczeństwo całej sieci, ponieważ ponad 50% zagrożeń bezpieczeństwa internetowego pochodzi z treści poczty e-mail.
utrzymuj lokalne czarne listy IP, aby blokować spamerów
posiadanie lokalnej czarnej listy IP na serwerze poczty e-mail jest bardzo ważne dla przeciwdziałania określonym spamerom, którzy kierują tylko na Ciebie. Utrzymanie listy może zająć zasoby i czas, ale przynosi rzeczywistą wartość dodaną. Rezultatem jest szybki i niezawodny sposób, aby zatrzymać niechciane połączenia internetowe od przeszkadza system wiadomości.
Szyfrowanie uwierzytelniania POP3 i IMAP pod kątem prywatności
połączenia POP3 i IMAP nie zostały pierwotnie zbudowane z myślą o bezpieczeństwie. W rezultacie są one często używane bez silnego uwierzytelniania. Jest to duża słabość, ponieważ hasła użytkowników są przesyłane w jasnym tekście za pośrednictwem serwera pocztowego, dzięki czemu są łatwo dostępne dla hakerów i osób o złośliwych zamiarach. SSLTLS jest najbardziej znanym i najłatwiejszym sposobem wdrożenia silnego uwierzytelniania; jest szeroko stosowany i uważany za wystarczająco niezawodny.
miej co najmniej 2 rekordy MX dla przełączania awaryjnego
to ostatnia, ale nie mniej ważna wskazówka. Posiadanie konfiguracji przełączania awaryjnego jest bardzo ważne dla dostępności. Posiadanie jednego rekordu MX nigdy nie jest wystarczające do zapewnienia ciągłego przepływu poczty do danej domeny, dlatego zdecydowanie zaleca się skonfigurowanie co najmniej 2 MX dla każdej domeny. Pierwsza jest ustawiona jako podstawowa, a druga jest używana, jeśli podstawowa z jakiegokolwiek powodu upadnie. Ta konfiguracja odbywa się na poziomie strefy DNS.