Хорошая работа сервера корпоративной электронной почты обеспечивает нормальное функционирование компании, прямо влияя на ее производительность (соответственно, ее доходы и конкурентоспособность).
Электронную почту необходимо качественно защищать от различных видов ИТ-угроз (вирусы, спам, шифровальщики, фишинг и многое другое). Ведь недостаточный уровень защиты обязательно рано или поздно приведет к задержкам в работе, сбоям и простоям почтовых серверов, потере производительности труда и проблемам в работе компании.
Помимо рядовых задач по поддержке работоспособности сервера в целом, необходимо решить задачи специфические для почтового сервера.
Важные задачи:
- защиты корпоративного домена от спуфинга (защита корпоративной рассылки от подделок);
- борьба со спамом.
Теперь обо всем по порядку.
Сталкивались ли вы с проблемой, что письма от вашего сервиса либо домена подделываются с целью вымогательства пароля или других конфиденциальных данных? Ежедневно к пользователям пытаются пробиться тысячи спамерских, фишинговых и мошеннических писем, которые злоумышленники маскируют под сообщения от известных сервисов. С Вашего корпоративного домена без Вашего ведома могут рассылаться письма вредоносного, компрометирующего содержания и т.д.
К сожалению, не существует единого метода борьбы с поддельными письмами. Защита от данного вида атак требует комплексного и многоуровневого подхода.
Основные методы защиты почты:
- Фильтрация на основе репутации сервера-отправителя.
- Фильтрация на основе проверок DNS-записей сервера отправителя.
- Фильтрация на основе проверок DNS-записей домена отправителя из конверта письма.
- Фильтрация на основе проверок SPF-записей.
- Фильтрация на основе DKIM.
- Фильтрация на основе DMARC.
- Создание гранулярных фильтров «вручную».
Профессиональный подход и грамотная настройка DNS, SPF, DKIM, DMARC и т.д. значительно снизят риски связанные с подделкой писем от Вашего домена, тем самым сохранив “чистую” репутацию домена и предприятия вцелом.
Борьба со спамом — это головная боль всех администраторов почты.
Основная цель — обезопасить своих пользователей от спама или наоборот, чтобы кто-то случайно не обезопасил пользователей от ваших писем.
Один из методов фильтрации спама — фильтрация на уровне SMTP протокола.
Примеры настройки почтового сервера приведены для Postfix (на базе Postfix работают многие почтовые серверы как уровня небольшого предприятия, так и вендорные решения Enterprise уровня, а также многие готовые серверные продукты, например Zimbra).
Настройка в основном касается ряда параметров:
Присматриваемся к клиенту
- reject_unknown_client_hostname
- reject_unknown_reverse_client_hostname
- sleep seconds
Проверяем приветствие
- reject_invalid_helo_hostname
- reject_non_fqdn_helo_hostname
- reject_unknown_helo_hostname
Стоит ли доверять отправителю
- reject_non_fqdn_sender
- reject_unknown_sender_domain
- reject_unverified_sender
Существует ли получатель
- reject_non_fqdn_recipient
- smtpd_reject_unlisted_recipient = yes
- reject_unlisted_recipient
- reject_unauth_destination
Грейлистинг (postgrey)
DNSBL (RBL) — чёрные списки узлов, замеченных в рассылке спама
Все параметры настраиваются либо в конфигурационных файлах, либо через панель управления почтовым сервером (например в Zimbra).
Что же надо делать, чтобы не попасть в спам.
Для администраторов почтовых серверов:
- Делайте MX записи ссылающимися на записи A.
- Запись A для почтового сервера всегда должна иметь зеркальную PTR запись.
- Хост из HELO заголовка должен иметь A или MX запись.
- Для всех писем, рассылаемых из обслуживаемого домена, ящик для обратного адреса должен существовать и принимать почту.
- Настраивайте на домене SPF, DKIM, DMARC
- Ну и само собой обеспечивайте безопасность учетных записей аккаунтов пользователей.
Атаки на электронную почту — к сожалению, повседневная реальность. А последствия могут быть крайне плачевными как для каждого человека в отдельности, так и для атакуемой организации в целом. Возможны существенные материальные потери и утечки конфиденциальной информации.
Настраивайте почтовые сервера правильно, минимизируйте все возможные риски корпоративной корреспонденции, обращайтесь [email protected]