如何保护入站和出站的电子邮件流量

安全的电子邮件服务器是任何组织中非常重要的资产之一。受损或不安全的电子邮件服务器可能会对企业的声誉产生负面影响,并可能导致法律和财务问题。维护本地或私有云安全电子邮件服务器绝非易事。如果您的目标是安全的电子邮件服务器,则需要考虑许多不同的要点。组织中的 IT 工程师或管理员负责代表组织运行安全电子邮件服务器。为 MSP 工作的工程师负责代表其客户维护安全的电子邮件服务器。

如何保护入站和出站的电子邮件流量-南华中天

保护入站电子邮件流量

加密邮件服务器和加密电子邮件流量实际上是两件不同的事情。安全的电子邮件服务器需要在传输过程中进行加密、对电子邮件进行加密以及对保存的电子邮件进行加密。

最终用户端加密

PGP/MIME和S/MIME是端到端加密电子邮件的两个选项。这两个选项对电子邮件使用基于证书的加密,从它们来自最终用户设备的那一刻起,直到它们在收件人的最终用户设备上被接收。S/MIME 使用公钥或非对称加密以及电子邮件的数字证书。证书有助于验证电子邮件发件人。

身份验证凭据加密

需要 SMTP 提交身份验证才能正确识别发件人并确保您的电子邮件服务器不会成为被第三方滥用的开放中继。对于电子邮件传输中的加密,TLS 是事实上的标准。它可以而且应该用于保护 webmail、IMAP 和任何其他客户端访问协议的流量。

SMTP 服务

简单邮件传输协议(或 SMTP)是大多数电子邮件客户端用于将消息提交到电子邮件服务器以及电子邮件服务器在发送给指定用户的途中从一个服务器发送/中继消息到另一个服务器的首选协议。

以下是传输电子邮件时最常出现的安全问题:

  • 未经授权访问您的电子邮件和数据泄露
  • 垃圾邮件和网络钓鱼
  • 恶意软件
  • 拒绝服务攻击

SSL(安全套接字层)是 Netscape 在 1995 年开发的一种加密协议,旨在提供增强的网络通信安全性,它是 TLS(传输层安全性)的前身。由于目前所有 SSL 版本都存在大量已知和可利用的漏洞,因此不再建议将其用于生产环境。使用 TLS 保护传输是当前的事实标准:推荐的 TLS 版本是 1.1、1.2 以及最新和最安全的 1.3。

SSL/TLS 对电子邮件客户端和电子邮件服务器之间以及电子邮件服务器之间的消息进行加密。如果加密的 SMTP 通信被恶意第三方记录,该方将只会看到看似随机的字符来替换电子邮件内容,这意味着您的联系人和邮件数据仍然受到保护且无法读取。

还支持称为 Perfect Forward Secrecy 的 TLS 扩展,它是特定密钥协商协议的一项功能,可确保即使会话密钥交换中使用的长期机密被泄露,会话密钥也不会被泄露。通俗地说,如果存储在服务器上的私钥丢失或被破坏,之前记录的加密 SMTP 会话仍然无法破译。

DNSBL 和 URIBL

域名系统黑名单 (DNSBL)或实时黑名单 (RBL) 本质上是一种服务,它提供已知域和 IP 地址的黑名单,这些域和 IP 地址被认为是垃圾邮件的来源。通常可以将邮件服务器软件配置为检查这些列表中的一个或多个。

DNSBL 更多的是一种软件机制,而不是一个特定的列表。存在许多,它们使用可能列出或未列出地址的广泛标准:列出用于发送垃圾邮件的机器的地址,已知互联网服务提供商 (ISP) 托管垃圾邮件发送者等。

  • Spamhaus DBL是一项将垃圾邮件中的域列入黑名单并被列为声誉不佳的服务。
  • URIBL 服务是检测为发送垃圾邮件的域列表

DNSBL 服务器被列为垃圾邮件发送者,当您将服务器定义为一台服务器时,来自此类服务器的电子邮件将被自动丢弃。

SPF、DKIM 和 DMARC

SPF(发件人策略框架)是一个 DNS TXT 条目,其中包含一个服务器列表,这些服务器应被视为已被允许代表特定域发送邮件。作为一个 DNS 条目可以被认为是一种强制执行条目列表对于域是可信的事实的方式,因为唯一允许添加或更改该域区域的人是域的所有者或管理员。

DKIM(DomainKeys Identified Mail)是一种验证邮件内容是否可信的方法,表明从邮件离开初始邮件服务器到到达目的地的那一刻,内容没有被修改。这个额外的一致性层是通过使用标准的公钥/私钥签名过程来实现的。在 SPF 的情况下,域的所有者或管理员添加包含公共 DKIM 密钥的 DNS 记录,接收者将使用该密钥来验证消息 DKIM 签名是否正确,并且在发送方的事情上,服务器将使用与 DNS 记录中存在的公钥对应的私钥对邮件消息进行签名。

DMARC(基于域的消息身份验证、报告和一致性)是一种使用 SPF 和 DKIM 来确定电子邮件消息是否真实的协议。从本质上讲,它使 ISP 更容易防止恶意第三方执行诸如域欺骗之类的行为以获取用户私人信息的网络钓鱼。DMARC 规定了关于 SPF 和 DKIM 的明确政策,并允许设置一个地址,该地址应用于发送有关服务器发送的邮件消息的报告。所有接收服务器和客户端都应使用此策略。

所有这些工具都严重依赖 DNS,在完成所有设置后它们的工作方式如下:

防晒指数

  • 收到后,邮件服务器会检索 HELO 消息和发件人的地址
  • 邮件服务器根据邮件的域 SPF 条目获取 TXT DNS 查询
  • 然后使用检索到的 SPF 条目数据来验证发送服务器
  • 如果此检查失败,则邮件将被拒绝,并提供有关拒绝的信息

DKIM

  • 在发送消息时,域基础结构中的最后一个服务器检查其内部设置,如果“发件人:”标头中使用的域确实包含在其“签名表”中。如果此检查失败,则一切都将在此处停止
  • 通过使用消息内容的密钥的私有部分生成签名,将名为“DKIM-Signature”的标头添加到消息标头列表中
  • 此后,无法修改邮件的主要内容,否则 DKIM-Signature 标头将不再正确,身份验证将失败。
  • 收到消息后,接收服务器将进行 DNS 查询以检索 DKIM 签名中使用的公钥
  • 之后,可以使用 DKIM 标头来确定消息是否在传输过程中更改或是否值得信赖

DMARC

  • 接收后,接收服务器将检查是否在 SPF 和/或 DKIM 检查使用的域中发布了 DMARC 策略
  • 如果一项或两项 SPF / DKIM 检查成功但与 DMARC 策略不一致,则认为检查不成功,否则,如果它们也与 DMARC 策略一致,则检查成功
  • 失败时,根据 DMARC 策略发布的操作,可以采取不同的操作

即使您拥有一个功能完善的系统,并且所有上述工具都设置并顺利运行,您也不能 100% 安全,因为并非所有服务器都在使用这些工具。

内容过滤

内容过滤器允许您扫描和检查传入/传出的消息,并根据结果自动采取相应的措施。诸如此类的服务主要扫描电子邮件的内容并确定内容是否与垃圾邮件过滤器匹配并阻止邮件到达收件箱。扫描还会查看图像元数据和标题以及消息文本内容。

您可以集成任何第三方产品,只要它们具有 Milter 功能,甚至可以使用基于云的服务作为电子邮件服务器前的网关。需要注意的是,内容过滤更耗费资源,这就是为什么在到达内容过滤器之前实现过滤掉电子邮件的其他层也很重要的原因。

保护出站电子邮件流量

发送和接收限制

可以对您在电子邮件服务器上托管的用户发送的消息应用限制。您可以控制消息整体的最大大小或消息各个部分的大小,甚至这两者的大小。例如,您可以控制邮件标头或其附件的最大大小,或者设置用户可以添加到外发邮件的最大收件人数限制。 此外,更重要的是,作为管理员,您可以创建发送配额(有例外),以确保自动执行您的公平使用政策。

出站垃圾邮件保护

控制从您的电子邮件服务器发出的内容与了解收到的内容同样重要。因此,制定扫描外发邮件和传入邮件的策略很重要,因为它可以阻止某人发送垃圾邮件,从而吸引不需要的邮件对你的影响。

保护邮箱访问

Webmail 两因素身份验证 (2FA)即使您可能使用 SSL/TLS,确保您的用户帐户安全也很重要,因为有时用户密码不是最强的。除了支持可配置的密码策略这一事实之外,启用双重身份验证可以极大地提高每个用户的帐户安全性,并保护他们的数据免受恶意第三方的侵害,否则他们可能会因为他们可能从其他服务获得密码而访问他们的帐户他们使用的是具有安全后门的。

SSL/TLS 监听器

使用良好的 SSL 版本和密码套件正确配置您的侦听器非常重要。服务器附带所有设置,我们建议您始终保持服务器最新,以确保您的 SSL 侦听器是 A 级的。

IMAP 加密和认证推荐设置

使用启用了 StartTLS 的加密连接是确保您和您的客户数据受到保护并且无法被恶意第三方读取的最佳方式。WebAdmin 允许控制邮件服务器的加密和身份验证设置,您可以在此文档页面上查看配置 IMAP 的推荐设置。

防止暴力攻击

蛮力攻击是一种网络攻击,恶意第三方使用自动脚本尝试不同的密码和密码,直到他们找到正确的组合来访问帐户或服务。它可能已经存在了很长时间,但它仍然很受欢迎,因为它对弱密码非常有效,这就是为什么双重身份验证是用户帐户的一项重要功能。

Fail2Ban (Linux) 和 RDPGuard (Windows) 是入侵防御系统,可为邮件服务器的暴力攻击添加保护。通过监视日志文件并阻止在邮件服务器管理员定义的短时间内执行过多登录尝试或过多连接的主机的 IP 地址。

防火墙

防火墙是关键且真正强制性的网络级安全控制之一。防火墙应具有高级持续威胁分析功能,因为它们能够检测零日安全攻击。运行入侵检测系统 (IDS) 也是一种最佳实践。需要电子邮件安全网关来屏蔽入站/出站电子邮件流量。防火墙过滤规则可用于拒绝/允许特定的电子邮件流量。这对于阻止服务器成为中继并发送大量垃圾邮件很有用。包过滤规则有助于阻止 DDoS 和 DoS 攻击。

结论

安全的电子邮件服务器本质上具有网络和服务器级别的安全控制。配置和维护您自己的电子邮件服务器是一种标准做法。但是,一些组织选择购买现成的电子邮件服务器软件解决方案。如果您考虑此选项,则安全性应该是您的最高考虑因素。世界上任何地方都没有完全安全的系统。但是,一些电子邮件软件解决方案提供了涵盖所有层安全性的综合包,包括网络和服务器级别。