安全的電子郵件服務(wù)器是任何組織中非常重要的資產(chǎn)之一。受損或不安全的電子郵件服務(wù)器可能會對企業(yè)的聲譽(yù)產(chǎn)生負(fù)面影響,并可能導(dǎo)致法律和財(cái)務(wù)問題。維護(hù)本地或私有云安全電子郵件服務(wù)器絕非易事。如果您的目標(biāo)是安全的電子郵件服務(wù)器,則需要考慮許多不同的要點(diǎn)。組織中的 IT 工程師或管理員負(fù)責(zé)代表組織運(yùn)行安全電子郵件服務(wù)器。為 MSP 工作的工程師負(fù)責(zé)代表其客戶維護(hù)安全的電子郵件服務(wù)器。
保護(hù)入站電子郵件流量
加密郵件服務(wù)器和加密電子郵件流量實(shí)際上是兩件不同的事情。安全的電子郵件服務(wù)器需要在傳輸過程中進(jìn)行加密、對電子郵件進(jìn)行加密以及對保存的電子郵件進(jìn)行加密。
最終用戶端加密
PGP/MIME和S/MIME是端到端加密電子郵件的兩個(gè)選項(xiàng)。這兩個(gè)選項(xiàng)對電子郵件使用基于證書的加密,從它們來自最終用戶設(shè)備的那一刻起,直到它們在收件人的最終用戶設(shè)備上被接收。S/MIME 使用公鑰或非對稱加密以及電子郵件的數(shù)字證書。證書有助于驗(yàn)證電子郵件發(fā)件人。
身份驗(yàn)證憑據(jù)加密
需要 SMTP 提交身份驗(yàn)證才能正確識別發(fā)件人并確保您的電子郵件服務(wù)器不會成為被第三方濫用的開放中繼。對于電子郵件傳輸中的加密,TLS 是事實(shí)上的標(biāo)準(zhǔn)。它可以而且應(yīng)該用于保護(hù) webmail、IMAP 和任何其他客戶端訪問協(xié)議的流量。
SMTP 服務(wù)
簡單郵件傳輸協(xié)議(或 SMTP)是大多數(shù)電子郵件客戶端用于將消息提交到電子郵件服務(wù)器以及電子郵件服務(wù)器在發(fā)送給指定用戶的途中從一個(gè)服務(wù)器發(fā)送/中繼消息到另一個(gè)服務(wù)器的首選協(xié)議。
以下是傳輸電子郵件時(shí)最常出現(xiàn)的安全問題:
- 未經(jīng)授權(quán)訪問您的電子郵件和數(shù)據(jù)泄露
- 垃圾郵件和網(wǎng)絡(luò)釣魚
- 惡意軟件
- 拒絕服務(wù)攻擊
SSL(安全套接字層)是 Netscape 在 1995 年開發(fā)的一種加密協(xié)議,旨在提供增強(qiáng)的網(wǎng)絡(luò)通信安全性,它是 TLS(傳輸層安全性)的前身。由于目前所有 SSL 版本都存在大量已知和可利用的漏洞,因此不再建議將其用于生產(chǎn)環(huán)境。使用 TLS 保護(hù)傳輸是當(dāng)前的事實(shí)標(biāo)準(zhǔn):推薦的 TLS 版本是 1.1、1.2 以及最新和最安全的 1.3。
SSL/TLS 對電子郵件客戶端和電子郵件服務(wù)器之間以及電子郵件服務(wù)器之間的消息進(jìn)行加密。如果加密的 SMTP 通信被惡意第三方記錄,該方將只會看到看似隨機(jī)的字符來替換電子郵件內(nèi)容,這意味著您的聯(lián)系人和郵件數(shù)據(jù)仍然受到保護(hù)且無法讀取。
還支持稱為 Perfect Forward Secrecy 的 TLS 擴(kuò)展,它是特定密鑰協(xié)商協(xié)議的一項(xiàng)功能,可確保即使會話密鑰交換中使用的長期機(jī)密被泄露,會話密鑰也不會被泄露。通俗地說,如果存儲在服務(wù)器上的私鑰丟失或被破壞,之前記錄的加密 SMTP 會話仍然無法破譯。
DNSBL 和 URIBL
域名系統(tǒng)黑名單 (DNSBL)或?qū)崟r(shí)黑名單 (RBL) 本質(zhì)上是一種服務(wù),它提供已知域和 IP 地址的黑名單,這些域和 IP 地址被認(rèn)為是垃圾郵件的來源。通常可以將郵件服務(wù)器軟件配置為檢查這些列表中的一個(gè)或多個(gè)。
DNSBL 更多的是一種軟件機(jī)制,而不是一個(gè)特定的列表。存在許多,它們使用可能列出或未列出地址的廣泛標(biāo)準(zhǔn):列出用于發(fā)送垃圾郵件的機(jī)器的地址,已知互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 托管垃圾郵件發(fā)送者等。
- Spamhaus DBL是一項(xiàng)將垃圾郵件中的域列入黑名單并被列為聲譽(yù)不佳的服務(wù)。
- URIBL 服務(wù)是檢測為發(fā)送垃圾郵件的域列表
DNSBL 服務(wù)器被列為垃圾郵件發(fā)送者,當(dāng)您將服務(wù)器定義為一臺服務(wù)器時(shí),來自此類服務(wù)器的電子郵件將被自動丟棄。
SPF、DKIM 和 DMARC
SPF(發(fā)件人策略框架)是一個(gè) DNS TXT 條目,其中包含一個(gè)服務(wù)器列表,這些服務(wù)器應(yīng)被視為已被允許代表特定域發(fā)送郵件。作為一個(gè) DNS 條目可以被認(rèn)為是一種強(qiáng)制執(zhí)行條目列表對于域是可信的事實(shí)的方式,因?yàn)槲ㄒ辉试S添加或更改該域區(qū)域的人是域的所有者或管理員。
DKIM(DomainKeys Identified Mail)是一種驗(yàn)證郵件內(nèi)容是否可信的方法,表明從郵件離開初始郵件服務(wù)器到到達(dá)目的地的那一刻,內(nèi)容沒有被修改。這個(gè)額外的一致性層是通過使用標(biāo)準(zhǔn)的公鑰/私鑰簽名過程來實(shí)現(xiàn)的。在 SPF 的情況下,域的所有者或管理員添加包含公共 DKIM 密鑰的 DNS 記錄,接收者將使用該密鑰來驗(yàn)證消息 DKIM 簽名是否正確,并且在發(fā)送方的事情上,服務(wù)器將使用與 DNS 記錄中存在的公鑰對應(yīng)的私鑰對郵件消息進(jìn)行簽名。
DMARC(基于域的消息身份驗(yàn)證、報(bào)告和一致性)是一種使用 SPF 和 DKIM 來確定電子郵件消息是否真實(shí)的協(xié)議。從本質(zhì)上講,它使 ISP 更容易防止惡意第三方執(zhí)行諸如域欺騙之類的行為以獲取用戶私人信息的網(wǎng)絡(luò)釣魚。DMARC 規(guī)定了關(guān)于 SPF 和 DKIM 的明確政策,并允許設(shè)置一個(gè)地址,該地址應(yīng)用于發(fā)送有關(guān)服務(wù)器發(fā)送的郵件消息的報(bào)告。所有接收服務(wù)器和客戶端都應(yīng)使用此策略。
所有這些工具都嚴(yán)重依賴 DNS,在完成所有設(shè)置后它們的工作方式如下:
防曬指數(shù)
- 收到后,郵件服務(wù)器會檢索 HELO 消息和發(fā)件人的地址
- 郵件服務(wù)器根據(jù)郵件的域 SPF 條目獲取 TXT DNS 查詢
- 然后使用檢索到的 SPF 條目數(shù)據(jù)來驗(yàn)證發(fā)送服務(wù)器
- 如果此檢查失敗,則郵件將被拒絕,并提供有關(guān)拒絕的信息
DKIM
- 在發(fā)送消息時(shí),域基礎(chǔ)結(jié)構(gòu)中的最后一個(gè)服務(wù)器檢查其內(nèi)部設(shè)置,如果“發(fā)件人:”標(biāo)頭中使用的域確實(shí)包含在其“簽名表”中。如果此檢查失敗,則一切都將在此處停止
- 通過使用消息內(nèi)容的密鑰的私有部分生成簽名,將名為“DKIM-Signature”的標(biāo)頭添加到消息標(biāo)頭列表中
- 此后,無法修改郵件的主要內(nèi)容,否則 DKIM-Signature 標(biāo)頭將不再正確,身份驗(yàn)證將失敗。
- 收到消息后,接收服務(wù)器將進(jìn)行 DNS 查詢以檢索 DKIM 簽名中使用的公鑰
- 之后,可以使用 DKIM 標(biāo)頭來確定消息是否在傳輸過程中更改或是否值得信賴
DMARC
- 接收后,接收服務(wù)器將檢查是否在 SPF 和/或 DKIM 檢查使用的域中發(fā)布了 DMARC 策略
- 如果一項(xiàng)或兩項(xiàng) SPF / DKIM 檢查成功但與 DMARC 策略不一致,則認(rèn)為檢查不成功,否則,如果它們也與 DMARC 策略一致,則檢查成功
- 失敗時(shí),根據(jù) DMARC 策略發(fā)布的操作,可以采取不同的操作
即使您擁有一個(gè)功能完善的系統(tǒng),并且所有上述工具都設(shè)置并順利運(yùn)行,您也不能 100% 安全,因?yàn)椴⒎撬蟹?wù)器都在使用這些工具。
內(nèi)容過濾
內(nèi)容過濾器允許您掃描和檢查傳入/傳出的消息,并根據(jù)結(jié)果自動采取相應(yīng)的措施。諸如此類的服務(wù)主要掃描電子郵件的內(nèi)容并確定內(nèi)容是否與垃圾郵件過濾器匹配并阻止郵件到達(dá)收件箱。掃描還會查看圖像元數(shù)據(jù)和標(biāo)題以及消息文本內(nèi)容。
您可以集成任何第三方產(chǎn)品,只要它們具有 Milter 功能,甚至可以使用基于云的服務(wù)作為電子郵件服務(wù)器前的網(wǎng)關(guān)。需要注意的是,內(nèi)容過濾更耗費(fèi)資源,這就是為什么在到達(dá)內(nèi)容過濾器之前實(shí)現(xiàn)過濾掉電子郵件的其他層也很重要的原因。
保護(hù)出站電子郵件流量
發(fā)送和接收限制
可以對您在電子郵件服務(wù)器上托管的用戶發(fā)送的消息應(yīng)用限制。您可以控制消息整體的最大大小或消息各個(gè)部分的大小,甚至這兩者的大小。例如,您可以控制郵件標(biāo)頭或其附件的最大大小,或者設(shè)置用戶可以添加到外發(fā)郵件的最大收件人數(shù)限制。 此外,更重要的是,作為管理員,您可以創(chuàng)建發(fā)送配額(有例外),以確保自動執(zhí)行您的公平使用政策。
出站垃圾郵件保護(hù)
控制從您的電子郵件服務(wù)器發(fā)出的內(nèi)容與了解收到的內(nèi)容同樣重要。因此,制定掃描外發(fā)郵件和傳入郵件的策略很重要,因?yàn)樗梢宰柚鼓橙税l(fā)送垃圾郵件,從而吸引不需要的郵件對你的影響。
保護(hù)郵箱訪問
Webmail 兩因素身份驗(yàn)證 (2FA)即使您可能使用 SSL/TLS,確保您的用戶帳戶安全也很重要,因?yàn)橛袝r(shí)用戶密碼不是最強(qiáng)的。除了支持可配置的密碼策略這一事實(shí)之外,啟用雙重身份驗(yàn)證可以極大地提高每個(gè)用戶的帳戶安全性,并保護(hù)他們的數(shù)據(jù)免受惡意第三方的侵害,否則他們可能會因?yàn)樗麄兛赡軓钠渌?wù)獲得密碼而訪問他們的帳戶他們使用的是具有安全后門的。
SSL/TLS 監(jiān)聽器
使用良好的 SSL 版本和密碼套件正確配置您的偵聽器非常重要。服務(wù)器附帶所有設(shè)置,我們建議您始終保持服務(wù)器最新,以確保您的 SSL 偵聽器是 A 級的。
IMAP 加密和認(rèn)證推薦設(shè)置
使用啟用了 StartTLS 的加密連接是確保您和您的客戶數(shù)據(jù)受到保護(hù)并且無法被惡意第三方讀取的最佳方式。WebAdmin 允許控制郵件服務(wù)器的加密和身份驗(yàn)證設(shè)置,您可以在此文檔頁面上查看配置 IMAP 的推薦設(shè)置。
防止暴力攻擊
蠻力攻擊是一種網(wǎng)絡(luò)攻擊,惡意第三方使用自動腳本嘗試不同的密碼和密碼,直到他們找到正確的組合來訪問帳戶或服務(wù)。它可能已經(jīng)存在了很長時(shí)間,但它仍然很受歡迎,因?yàn)樗鼘θ趺艽a非常有效,這就是為什么雙重身份驗(yàn)證是用戶帳戶的一項(xiàng)重要功能。
Fail2Ban (Linux) 和 RDPGuard (Windows) 是入侵防御系統(tǒng),可為郵件服務(wù)器的暴力攻擊添加保護(hù)。通過監(jiān)視日志文件并阻止在郵件服務(wù)器管理員定義的短時(shí)間內(nèi)執(zhí)行過多登錄嘗試或過多連接的主機(jī)的 IP 地址。
防火墻
防火墻是關(guān)鍵且真正強(qiáng)制性的網(wǎng)絡(luò)級安全控制之一。防火墻應(yīng)具有高級持續(xù)威脅分析功能,因?yàn)樗鼈兡軌驒z測零日安全攻擊。運(yùn)行入侵檢測系統(tǒng) (IDS) 也是一種最佳實(shí)踐。需要電子郵件安全網(wǎng)關(guān)來屏蔽入站/出站電子郵件流量。防火墻過濾規(guī)則可用于拒絕/允許特定的電子郵件流量。這對于阻止服務(wù)器成為中繼并發(fā)送大量垃圾郵件很有用。包過濾規(guī)則有助于阻止 DDoS 和 DoS 攻擊。
結(jié)論
安全的電子郵件服務(wù)器本質(zhì)上具有網(wǎng)絡(luò)和服務(wù)器級別的安全控制。配置和維護(hù)您自己的電子郵件服務(wù)器是一種標(biāo)準(zhǔn)做法。但是,一些組織選擇購買現(xiàn)成的電子郵件服務(wù)器軟件解決方案。如果您考慮此選項(xiàng),則安全性應(yīng)該是您的最高考慮因素。世界上任何地方都沒有完全安全的系統(tǒng)。但是,一些電子郵件軟件解決方案提供了涵蓋所有層安全性的綜合包,包括網(wǎng)絡(luò)和服務(wù)器級別。
