10 найкращих практик безпеки поштового сервера Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Найкращі практики забезпечення безпеки поштового сервера

Вот несколько рекомендаций по обеспечению безопасности почтового сервера, которые вы можете использовать прямо сейчас, чтобы помочь создать безопасный почтовый сервер для вашей организации. Если вы отправляете электронные письма, но у вас нет защищенного почтового сервера, это означает, что любые данные, передаваемые через них, имеют риск компрометации.

Что значит иметь защищенный почтовый сервер? Рассмотрим 10 передовых методов обеспечения безопасности почтовых серверов и почему внедрение этих мер необходимо для защиты вашего бизнеса и клиентов.

Что такое защищенный почтовый сервер?

Как и подразумевает слово « безопасный », наличие защищенного почтового сервера означает, что вы защищаете свой почтовый домен и данные от несанкционированного использования. Это означает:

10 лучших практик безопасности почтового сервера

Существует множество причин, почему наличие защищенного почтового сервера является обязательным для всех организаций и внедрение этих передовых методов обеспечения безопасности серверов электронной почты имеет решающее значение для предприятий и других организаций во всем мире. Самая главная причина в том, что это правильно и ответственно. Ваши клиенты, пользователи и другие заинтересованные стороны доверяют вам защиту своих данных. Во-вторых, это помогает защитить ваши интересы, защищая ваши данные от посторонних глаз. Киберпреступники или даже ваши конкуренты хотели бы заполучить цифровые товары, хранящиеся на вашем почтовом сервере.

Следующий список рекомендаций по обеспечению безопасности почтового сервера не является полным или исчерпывающим руководством. Тем не менее, этот список дает вам отличную отправную точку, чтобы помочь сделать ваш почтовый сервер более безопасным.

  1. Измените все настройки по умолчанию, имена пользователей и пароли для вашего почтового сервера.

    Большая ошибка, которую совершают организации, заключается в том, что они не тратят время на изменение настроек и конфигураций своих серверов по умолчанию. Это может быть потому, что они спешат или, возможно, они не понимают, насколько рискованно использовать настройки по умолчанию. Независимо от причины, обязательно сделайте дополнительный шаг и измените эти настройки.

    Это также включает в себя изменение информации для входа по умолчанию. Безопасность учетной записи и пароля имеет первостепенное значение для кибербезопасности в целом. Если вы используете комбинацию имени пользователя по умолчанию и слабого пароля для защиты чего-либо, это эквивалентно возможности использовать двойной замок на входной двери, но вместо этого выбрать ненадежный цепной замок. Конечно, это обеспечивает минимальную безопасность, но злоумышленнику нужно лишь немного « грубой силы ». » (понятно?), чтобы проникнуть внутрь и получить доступ к вашему дому.

    Использование учетных данных по умолчанию (имя пользователя и пароль), поставляемых с вашим сервером или программным обеспечением, похоже на это. Это небезопасно и оставляет ваш почтовый сервер и его данные под угрозой кражи и других компрометаций.

  2. Настройте строгую транспортную безопасность агента пересылки почты (MTA-STS)

    Строгая транспортная безопасность агента по передаче почты — это проверка входящих электронных писем. Согласно Google , «SMTP-подключения для электронной почты более безопасны, когда сервер-отправитель поддерживает MTA-STS, а сервер-получатель использует политику MTA-STS в принудительном режиме». По сути, это означает, что если на почтовом сервере вашей организации включена служба MTS-STS, она разрешает получать электронные письма только через безопасные аутентифицированные соединения (с использованием TLS 1.2 или 1.3). Это помогает защитить ваших получателей от получения сообщений, не прошедших проверку подлинности, отправленных через незащищенные соединения (т. е. соединения, в которых кто-то может вставить вредоносное ПО или изменить данные при передаче, или так называемая атака «человек посередине» [MitM]). Если цифровая идентификация отправителя не может быть аутентифицирована или у него не включен SSL/TLS, то сообщение отклоняется.

  3. Выберите безопасные протоколы электронной почты для защиты ваших сообщений в пути

    Установите сертификат SSL/TLS на свой сервер, чтобы включить HTTPS Вы можете использовать безопасность SSL/TLS для защиты канала передачи ваших сообщений. Это позволяет вам шифровать сообщения, которые происходят между вашим почтовым сервером и другими почтовыми серверами, с которыми он взаимодействует. Таким образом, никто не сможет перехватить сообщения в пути.

    Каждый раз, когда один из ваших сотрудников отправляет или получает электронное письмо от кого-либо, он создает соединение с почтовым сервером этого человека. Если это соединение не является безопасным, это означает, что любой, у кого есть ноу-хау, может перехватить это сообщение в пути и украсть или изменить данные так, что две первоначальные стороны не узнают, что произошло.

    Конечно, если вы используете сертификат подписи электронной почты для прямого шифрования данных электронной почты, то это служит дополнительным уровнем безопасности для ваших сообщений.

    Используйте безопасные порты для служб входящей и исходящей электронной почты
    Традиционно IMAP или POP3 — это протоколы, которые используются для входящих сообщений электронной почты (т. е. сообщений, которые почтовые клиенты получают с вашего почтового сервера). SMTP, с другой стороны, используется для исходящих писем. Обязательно настройте указанные ниже службы на следующие защищенные порты TCP/IP для входящих исходящих сообщений:

    • Исходящий — защищенный порт 465 или 587 (с включенным STARTTLS) для SMTPS.
    • Входящий — с включенным SSL/TLS вы можете использовать один из следующих портов:
      Порт 993 для IMAP (с включенным SSL)
      Порт 995 для POP3 (с включенным SSL)
  4. Используйте DMARC, чтобы предотвратить спуфинг домена бренда

    Киберпреступники любят играть в переодевания с брендами компаний и наживаться на их репутации. Плохие парни нередко выдают себя за организации, чтобы проводить фишинговые аферы. Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC) — это протокол электронной почты, который помогает защитить ваш домен от несанкционированного использования неавторизованными лицами. Инженерная рабочая группа Интернета (IETF) ввела его в курс дела, чтобы помочь организациям защитить свои домены от мошеннического использования. DMARC основан на двух других протоколах аутентификации, чтобы гарантировать, что только ваши авторизованные пользователи отправляют электронные письма от имени вашего домена:

    • Структура политик отправителей (SPF) : текст SPF — это запись, которую вы прикрепляете к своей системе доменных имен (DNS). Это помогает проверять сообщения, отправляемые вашим доменом.
    • Идентифицированная почта DomainKeys (DKIM) : этот протокол прикрепляет вашу цифровую подпись к заголовкам исходящих сообщений электронной почты. Это позволяет вам использовать криптографию с открытым ключом, чтобы подтвердить подлинность и целостность электронных писем, приходящих с вашего домена.

    Вы можете пойти дальше DMARC и вывести цифровую идентификацию вашей организации на новый уровень. Это можно сделать, интегрировав индикаторы бренда для идентификации сообщений (BIMI) и сертификаты проверенных торговых знаков (VMC) в цифровую идентификацию электронной почты вашей организации. Это позволит вам вставлять проверенный логотип вашей организации во все исходящие электронные письма вашей организации от законных отправителей.

  5. Поддерживайте программное и микропрограммное обеспечение вашего сервера в актуальном состоянии с помощью исправлений и обновлений.

    Запуск устаревшей или неисправленной версии программного обеспечения вашего сервера — верный путь к катастрофе. Патчи — это способ издателя или разработчика исправить ошибки и другие проблемы, которые делают ваши почтовые серверы уязвимыми. Если вы не примените эти исправления своевременно, вы рискуете, что киберпреступники воспользуются этими уязвимостями, чтобы получить доступ к вашим почтовым серверам и данным.

  6. Используйте брандмауэры почтовых серверов, чтобы следить за входящим и исходящим трафиком

    Брандмауэры сервера электронной почты фильтруют входящий и исходящий трафик на основе правил вашего почтового сервера. Это поможет вам следить за входящей и исходящей связью в вашем домене, чтобы выявлять любые подозрительные действия.

    Установите лимиты скорости и ограничения размера для исходящего трафика Важно отслеживать трафик, вы также должны ограничить как количество электронных писем, которые могут исходить из вашего домена, так и их размеры. Всплеск исходящих сообщений может указывать на то, что одна или несколько ваших авторизованных учетных записей могут быть скомпрометированы и используются для рассылки спама или фишинговых сообщений. Установка ограничений скорости может помочь защитить репутацию вашего домена.

  7. Будьте избирательны в том, кому или чему, вы предоставляете доступ к своему почтовому серверу

    Вы можете настроить профили сотрудников таким образом, чтобы у пользователей был только минимальный уровень доступа, необходимый им для выполнения своей работы. Если кому-то нужен доступ к конфиденциальной системе для проекта, назначьте ему разрешение на время, необходимое для его завершения. Не забудьте удалить эти привилегии, как только этот доступ больше не нужен (например, когда они завершат проект).

    Кроме того, убедитесь, что у вас есть процедура, обеспечивающая отзыв доступа к учетным записям, когда сотрудники покидают вашу организацию. Злоумышленники или даже недовольные бывшие сотрудники любят использовать старые логины, чтобы исследовать системы, к которым у них больше не должно быть доступа. Вы можете предотвратить это, немедленно деактивировав их учетные записи.

  8. Используйте безопасную аутентификацию SSH без пароля в качестве администратора для управления своим сервером

    Как администратор, вы, вероятно, используете безопасную оболочку (SSH) для управления различными серверами вашей организации. Обычно это требует использования комбинации имени пользователя и пароля для аутентификации. Но есть лучший (и более безопасный) способ сделать это, чем полагаться на потенциально слабые учетные данные для входа: вместо этого вы можете использовать пары открытого и закрытого ключей. Этот метод аутентификации включает использование криптографических ключей для подтверждения вашей цифровой личности как законного авторизованного пользователя. Один из них является общедоступным, а другой ваше устройство держит в секрете, что доказывает, что вы — это вы. Этот процесс позволяет легко и безопасно аутентифицироваться без необходимости запоминать громоздкий пароль. Управление ключами SSH — это защита ваших криптографических ключей в рамках вашей стратегии управления доступом к SSH и методов обеспечения безопасности.

  9. Обучение пользователей тому, как обеспечить безопасность своих учетных записей

    Защита учетных данных не является обязательной; это ответственность каждого отдельного сотрудника и пользователя сети. Почему? Потому что компрометация учетных записей пользователей — это самый простой способ для хакеров взломать ваш сервер. Частью этого подхода к укреплению киберзащиты вашей организации является обучение пользователей передовым методам кибербезопасности.

    Некоторые из вопросов, которые должны охватывать эффективные тренинги по повышению осведомленности о кибербезопасности, включают:

    • Как распознать и избежать социальной инженерии и распространенных угроз фишинга (используйте для этого реальные примеры)
    • Что им следует делать, когда они получают подозрительные электронные письма или телефонные звонки (предоставьте конкретные рекомендации и контакты)
    • Как создавать безопасные пароли (которые вам нужно будет применять)
    • Как использовать единый вход (SSO) и инструменты управления паролями
    • Почему им не следует устанавливать теневые ИТ (неавторизованное и потенциально вредоносное ПО)
  10. Требуйте, чтобы ваши авторизованные пользователи ставили цифровую подпись и/или шифровали свои электронные письма

    Чтобы ваши сотрудники, особенно администраторы и другие привилегированные пользователи, не попали в ловушку фишинга с учетными данными, требуйте, чтобы все подписывали свои электронные письма цифровой подписью. Добавляя криптографическую цифровую подпись (т. е. подпись, проверенную общедоступным ЦС) к своей электронной почте, вы делаете две большие вещи:

    • Предоставление получателю электронной почты гарантии того, что отправитель является законным, и
    • Обеспечение того, чтобы целостность сообщения не была нарушена с момента его подписания.

    Вы также можете использовать эти сертификаты для шифрования электронных писем, содержащих конфиденциальные данные, для дополнительной защиты. Этот процесс требует, чтобы обе стороны (отправитель и получатель) имели сертификаты подписи электронной почты, а отправитель электронной почты использовал открытый ключ получателя. Затем вы используете их открытый ключ для шифрования электронной почты, прежде чем нажать « Отправить », а они используют свой соответствующий закрытый ключ для расшифровки сообщения на своей стороне. Если это звучит сложно, не волнуйтесь — все, что вам нужно сделать, это попросить получателя сначала отправить вам электронное письмо с цифровой подписью. Таким образом, у вас будет легко доступная копия их открытого ключа. Это так просто.

Наличие защищенного почтового сервера необходимо для вашей организации: