Protezione Internet - Protezione e-mail

In questo capitolo, spiegheremo le misure di sicurezza che devono essere prese in un server di posta e su un sito client.

Rafforzare un server di posta

Per rafforzare un server di posta, dovrai seguire i seguenti passaggi:

Passaggio 1. Configurare il server di posta in modo che non disponga di Open Relay

È molto importante configurare i parametri di inoltro della posta in modo che siano molto restrittivi. Tutti i server di posta hanno questa opzione, dove puoi specificare a quali domini o indirizzi IP il tuo server di posta inoltrerà i messaggi. Questo parametro specifica a chi il protocollo SMTP deve inoltrare i messaggi. Un inoltro aperto può danneggiarti perché gli spammer possono utilizzare il tuo server di posta per inviare spam ad altri, con il risultato che il tuo server viene inserito nella lista nera.

Passaggio 2. Configurare l'autenticazione SMTP per controllare l'accesso dell'utente

L'autenticazione SMTP costringe le persone che utilizzano il tuo server a ottenere l'autorizzazione per inviare la posta fornendo prima un nome utente e una password. Questo aiuta a prevenire qualsiasi inoltro aperto e abuso del tuo server. Se configurato nel modo giusto, solo gli account conosciuti possono utilizzare l'SMTP del server per inviare un'e-mail. Questa configurazione è altamente raccomandata quando il tuo server di posta ha un indirizzo IP instradato.

Passaggio 3. Limitare le connessioni per proteggere il server dagli attacchi DoS

Il numero di connessioni al server SMTP dovrebbe essere limitato. Questi parametri dipendono dalle specifiche dell'hardware del server ed è un carico nominale giornaliero. I parametri principali utilizzati per gestire i limiti di connessione includono: numero totale di connessioni, numero totale di connessioni simultanee e velocità di connessione massima. Per mantenere valori ottimali per questi parametri potrebbe essere necessario un affinamento nel tempo. Itprevents Spam Floods and DoS Attacks che prendono di mira la tua infrastruttura di rete.

Passaggio 4. Attiva il DNS inverso per bloccare i mittenti fasulli

La maggior parte dei sistemi di messaggistica utilizza ricerche DNS per verificare l'esistenza del dominio di posta elettronica del mittente prima di accettare un messaggio. Una ricerca inversa è anche un'opzione interessante per combattere i mittenti di posta fasulli. Una volta attivata la ricerca DNS inversa, il tuo SMTP verifica che l'indirizzo IP del mittente corrisponda sia ai nomi host che a quelli di dominio inviati dal client SMTP nelEHLO/HELO Command. Ciò è molto utile per bloccare i messaggi che non superano il test di corrispondenza degli indirizzi.

Passaggio 5. Utilizzare i server DNSBL per combattere l'abuso della posta in arrivo

Una delle configurazioni più importanti per proteggere il tuo server di posta elettronica è l'uso DNS – based blacklists. Controllare se il dominio o l'IP del mittente è conosciuto dai server DNSBL in tutto il mondo potrebbe ridurre sostanzialmente la quantità di spam ricevuta. L'attivazione di questa opzione e l'utilizzo di un numero massimo di server DNSBL ridurrà notevolmente l'impatto della posta in arrivo non richiesta. L'elenco dei server DNSBL insieme a tutti gli IP e i domini degli spammer noti per questo scopo sono tutti memorizzati in un sito Web, il collegamento per questo sito Web è:https://www.spamhaus.org/organization/dnsblusage/

Passaggio 6. Attiva SPF per prevenire fonti di spoofing

Il Sender Policy Framework (SPF) è un metodo utilizzato per prevenire gli indirizzi dei mittenti falsificati. Al giorno d'oggi, quasi tutti i messaggi di posta elettronica offensivi contengono indirizzi di mittenti falsi. Il controllo SPF garantisce che l'MTA mittente sia autorizzato a inviare posta per conto del nome di dominio del mittente. Quando SPF è attivato sul server, il record MX del server di invio (il record DNS Mail Exchange) viene convalidato prima che avvenga la trasmissione di un messaggio.

Passaggio 7. Abilitare SURBL per verificare il contenuto del messaggio

Il SURBL (Spam URI Real-time Block List) rileva le e-mail indesiderate in base a collegamenti non validi o dannosi all'interno di un messaggio. Avere un filtro SURBL aiuta a proteggere gli utenti da malware e attacchi di phishing. Al momento, non tutti i server di posta supportano SURBL. Ma se il tuo server di messaggistica lo supporta, attivarlo aumenterà la sicurezza del tuo server, così come la sicurezza dell'intera rete poiché oltre il 50% delle minacce alla sicurezza Internet proviene dal contenuto della posta elettronica.

Passaggio 8. Gestisci le blacklist IP locali per bloccare gli spammer

Avere una blacklist IP locale sul tuo server di posta elettronica è molto importante per contrastare specifici spammer che prendono di mira solo te. La manutenzione dell'elenco può richiedere risorse e tempo, ma apporta un reale valore aggiunto. Il risultato è un modo rapido e affidabile per impedire a connessioni Internet indesiderate di disturbare il sistema di messaggistica.

Passaggio 9. Crittografa l'autenticazione POP3 e IMAP per motivi di privacy

Le connessioni POP3 e IMAP non sono state originariamente costruite pensando alla sicurezza. Di conseguenza, vengono spesso utilizzati senza autenticazione forte. Questo è un grosso punto debole poiché le password degli utenti vengono trasmesse in chiaro attraverso il tuo server di posta, rendendole così facilmente accessibili agli hacker e alle persone con intenti dannosi. SSLTLS è il modo più conosciuto e più semplice per implementare l'autenticazione forte; è ampiamente utilizzato e considerato sufficientemente affidabile.

Passaggio 10. Avere almeno due record MX per qualsiasi failover

Avere una configurazione di failover è molto importante per la disponibilità. Avere un record MX non è mai sufficiente per garantire un flusso continuo di posta a un determinato dominio, motivo per cui si consiglia vivamente di impostare almeno due MX per ogni dominio. Il primo è impostato come primario e il secondario viene utilizzato se il primario si interrompe per qualsiasi motivo. Questa configurazione viene eseguita suDNS Zone level.

Protezione degli account di posta elettronica

In questa sezione, discuteremo come proteggere gli account di posta elettronica ed evitare che vengano violati.

Protezione sul sito del cliente

La cosa più importante è farlo Create complex passwords. Poiché ci sono molte tecniche disponibili per decifrare le password come forza bruta, attacchi al dizionario e indovinare la password.

A strong password contains −

  • Da 7 a 16 caratteri.
  • Lettere maiuscole e minuscole
  • Numbers
  • Personaggi speciali

Collega sempre la password e-mail a un'altra e-mail autentica a cui hai accesso. Quindi, nel caso in cui questa email venga violata, hai la possibilità di ottenere nuovamente l'accesso.

Installa nel tuo computer un antivirus di posta, in modo che ogni e-mail in arrivo nel tuo client di posta elettronica venga scansionata come allegati e collegamenti di phishing.

Se hai l'abitudine di utilizzare l'accesso Web, non aprire mai gli allegati con l'estensione.exe estensioni.

Si consiglia di utilizzare un'e-mail crittografata quando si comunica ufficialmente con dati importanti. Quindi è meglio che la comunicazione sia crittografata tra gli utenti finali, un buon strumento per questo èPGP Encryption Tool.