Configure as opções de retransmissão de E-mail com cuidado para evitar ser um relé aberto
é muito importante configurar seu parâmetro de retransmissão de E-mail para ser muito restritivo. Todos os servidores de E-mail têm essa opção, onde você pode especificar quais domínios ou endereços IP seu servidor de E-mail transmitirá e-mails. Em outras palavras, esse parâmetro especifica para quem seu protocolo SMTP deve encaminhar e-mails. A configuração incorreta dessa opção pode prejudicá-lo porque os spammers podem usar seu servidor de E-mail (e recursos de rede) como um gateway para enviar spam a outras pessoas, resultando em sua lista negra.
configurar a autenticação SMTP para controlar o acesso do Usuário
a autenticação SMTP força as pessoas que usam seu servidor a obter permissão para enviar e-mails fornecendo primeiro um nome de usuário e senha. Isso ajuda a evitar o relé aberto e o abuso do seu servidor. Se configurado da maneira certa, apenas contas conhecidas podem usar seus servidores SMTP para enviar e-mail. Essa configuração é altamente recomendada quando seu servidor de E-mail tem um endereço IP roteado.
limite as conexões para proteger seu servidor contra ataques DoS
o número de conexões com seu servidor SMTP deve ser limitado. Esses parâmetros dependem das especificações do hardware do servidor (memória, Largura de banda NIC, CPU, etc.) e sua carga nominal por dia. Os principais parâmetros usados para lidar com os limites de conexão incluem: número total de conexões, número total de conexões simultâneas e taxa máxima de conexão. Para manter valores ótimos para esses parâmetros, pode ser necessário refinamento ao longo do tempo.
isso pode ser muito útil para mitigar inundações de spam e ataques de DoS que visam sua infraestrutura de rede.
ative o dns reverso para bloquear remetentes falsos
a maioria dos sistemas de Mensagens usa pesquisas de DNS para verificar a existência do domínio de email dos remetentes antes de aceitar uma mensagem. Uma pesquisa reversa também é uma opção interessante para combater remetentes de correio falsos. Uma vez que a Pesquisa reversa do DNS é ativada, seu SMTP verifica que o endereço IP dos remetentes corresponde ao host e aos nomes de domínio que foram enviados pelo cliente SMTP no comando EHLO/HELO.
isso é muito valioso para bloquear mensagens que falham no teste de correspondência de endereços.
use servidores DNSBL para combater o abuso de E-mail recebido
uma das configurações mais importantes para proteger seu servidor de E-mail é usar listas negras baseadas em DNS. Verificar se o domínio ou IP do remetente é conhecido pelos servidores DNSBL em todo o mundo (por exemplo, Spamhaus, etc.), poderia reduzir substancialmente a quantidade de spam recebido. Ativar essa opção e usar um número máximo de servidores DNSBL reduzirá muito o impacto de E-mails recebidos não solicitados.
os servidores DNSBL listam todos os spammers IPs e domínios conhecidos para esse fim.
ativar SPF para evitar fontes Falsificadas
Sender Policy Framework (SPF) é um método usado para evitar endereços de remetentes falsificados. Hoje em dia, quase todas as mensagens de E-mail abusivas carregam endereços de remetentes falsos. A verificação SPF garante que o MTA de envio tenha permissão para enviar e-mails em nome do nome de domínio dos remetentes. Quando o SPF é ativado no seu servidor, o registro MX dos servidores de envio (O registro DNS Mail Exchange) é validado antes da transmissão da mensagem.
ativar SURBL para verificar o conteúdo da mensagem
SURBL (Spam Uri listas de bloqueio em tempo Real) detecta e-mail indesejado com base em links inválidos ou maliciosos dentro de uma mensagem. Ter um filtro SURBL ajuda a proteger os usuários de malware e ataques de phishing. Atualmente, nem todos os servidores de E-mail suportam SURBL. Mas se o seu servidor de mensagens o suportar, ativá-lo aumentará a segurança do seu servidor, bem como a segurança de toda a sua rede, uma vez que mais de 50% das ameaças de segurança da Internet vêm de conteúdo de E-mail.
manter listas negras IP locais para bloquear spammers
ter uma lista negra IP local em seu servidor de E-mail é muito importante para combater spammers específicos que só visam você. A manutenção da lista pode levar recursos e tempo, mas traz valor agregado real. O resultado é uma maneira rápida e confiável de impedir que conexões de Internet indesejadas incomodem seu sistema de mensagens.
criptografar autenticação POP3 e IMAP para questões de Privacidade
as conexões POP3 e IMAP não foram originalmente construídas com segurança em mente. Como resultado, eles são frequentemente usados sem autenticação forte. Esta é uma grande fraqueza, uma vez que as senhas dos usuários são transmitidas em texto claro através do seu servidor de E-mail, tornando-as facilmente acessíveis a hackers e pessoas com intenção maliciosa. SSLTLS é a maneira mais conhecida e fácil de implementar autenticação forte; é amplamente utilizado e considerado confiável o suficiente.
tem pelo menos 2 registros MX para failover
esta é a última, mas não menos importante, dica importante. Ter uma configuração de failover é muito importante para a disponibilidade. Ter um registro MX nunca é adequado para garantir um fluxo contínuo de E-mail para um determinado domínio, e é por isso que é altamente recomendável configurar pelo menos 2 MXs para cada domínio. O primeiro é definido como o primário, e o secundário é usado se o primário cair por qualquer motivo. Essa configuração é feita no nível da zona DNS.