Konfigurera e-postreläalternativ noggrant för att undvika att vara ett öppet relä
det är mycket viktigt att konfigurera din e-postreläparameter för att vara mycket restriktiv. Alla e-postservrar har det här alternativet, där du kan ange vilka domäner eller IP-adresser din e-postserver ska vidarebefordra e-post till. Med andra ord anger denna parameter för vem ditt SMTP-protokoll ska vidarebefordra e-post. Felkonfiguration av det här alternativet kan skada dig eftersom spammare kan använda din e-postserver (och nätverksresurser) som en gateway för att spamma andra, vilket resulterar i att du blir svartlistad.
Ställ in SMTP-autentisering för att kontrollera användaråtkomst
SMTP-autentisering tvingar de personer som använder din server att få tillstånd att skicka e-post genom att först ange ett användarnamn och lösenord. Detta hjälper till att förhindra Öppet relä och missbruk av din server. Om konfigureras på rätt sätt, bara kända konton kan använda dina servrar SMTP för att skicka e-post. Denna konfiguration rekommenderas starkt när din e-postserver har en dirigerad IP-adress.
begränsa anslutningar för att skydda din server mot DoS-attacker
antalet anslutningar till din SMTP-server bör begränsas. Dessa parametrar beror på specifikationerna för serverhårdvaran (minne, Nic-bandbredd, CPU, etc.) och dess nominella belastning per dag. De viktigaste parametrarna som används för att hantera anslutningsgränser inkluderar: totalt antal anslutningar, totalt antal samtidiga anslutningar och maximal anslutningshastighet. För att bibehålla optimala värden för dessa parametrar kan kräva förfining över tiden.
detta kan vara till stor hjälp för att mildra spam översvämningar och DoS attacker som riktar din nätverksinfrastruktur.
aktivera omvänd DNS för att blockera falska avsändare
de flesta meddelandesystem använder DNS-sökningar för att verifiera förekomsten av avsändarens e-postdomän innan de accepterar ett meddelande. En omvänd sökning är också ett intressant alternativ för att bekämpa falska postavsändare. När omvänd DNS-sökning har aktiverats verifierar din SMTP att avsändarens IP-adress matchar både värd-och domännamn som skickades in av SMTP-klienten i EHLO/HELO-kommandot.
detta är mycket värdefullt för att blockera meddelanden som misslyckas med adressmatchningstestet.
använd DNSBL-servrar för att bekämpa inkommande e-postmissbruk
en av de viktigaste konfigurationerna för att skydda din e-postserver är att använda DNS-baserade svartlistor. Kontrollera om avsändarens domän eller IP är känd av DNSBL-servrar över hela världen (t.ex. Spamhaus, etc.), kan avsevärt minska mängden mottagen skräppost. Om du aktiverar det här alternativet och använder ett maximalt antal DNSBL-servrar minskar effekten av oönskad inkommande e-post kraftigt.
DNSBL servrar lista alla kända spammare IP-adresser och domäner för detta ändamål.
aktivera SPF för att förhindra falska källor
Sender Policy Framework (SPF) är en metod som används för att förhindra falska avsändaradresser. Numera har nästan alla kränkande e-postmeddelanden falska avsändaradresser. SPF-kontrollen säkerställer att den sändande MTA får skicka e-post på uppdrag av avsändarens domännamn. När SPF är aktiverat på din server valideras den sändande servrarna MX-posten (DNS Mail Exchange-posten) innan meddelandeöverföring sker.
aktivera SURBL för att verifiera meddelandeinnehåll
SURBL (Spam URI real-time Block Lists) upptäcker oönskad e-post baserat på ogiltiga eller skadliga länkar i ett meddelande. Att ha ETT SURBL-filter hjälper till att skydda användare från skadlig kod och phishing-attacker. För närvarande stöder inte alla e-postservrar SURBL. Men om din meddelandeserver stöder det, kommer aktivering av det att öka din serversäkerhet, liksom säkerheten för hela nätverket eftersom mer än 50% av internetsäkerhetshot kommer från e-postinnehåll.
behåll lokala IP-svartlistor för att blockera spammare
att ha en lokal IP-svartlista på din e-postserver är mycket viktigt för att motverka specifika spammare som bara riktar dig. Underhåll av listan kan ta resurser och tid, men det ger verkligt mervärde. Resultatet är ett snabbt och pålitligt sätt att stoppa oönskade Internetanslutningar från att störa ditt meddelandesystem.
kryptera POP3-och IMAP-autentisering för integritetsfrågor
POP3-och IMAP-anslutningar byggdes inte ursprungligen med säkerhet i åtanke. Som ett resultat används de ofta utan stark autentisering. Detta är en stor svaghet eftersom användarnas lösenord överförs i klartext via din e-postserver, vilket gör dem lättillgängliga för hackare och personer med skadlig avsikt. SSLTLS är det mest kända och enklaste sättet att implementera stark autentisering; det används ofta och anses vara tillförlitligt nog.
har minst 2 MX poster för failover
Detta är den sista, men inte minst, viktigt tips. Att ha en failover-konfiguration är mycket viktigt för tillgänglighet. Att ha en MX-post är aldrig tillräcklig för att säkerställa ett kontinuerligt flöde av e-post till en viss domän, varför det rekommenderas starkt att ställa in minst 2 MX för varje domän. Den första är inställd som primär, och sekundären används om primären går ner av någon anledning. Denna konfiguration görs på DNS-Zonnivån.