互联网安全 - 电子邮件安全 - Gingerdoc 姜知笔记

笔记首页 >> internet_security >> 互联网安全 – 电子邮件安全

互联网安全 – 电子邮件安全

在本章中，我们将解释必须在邮件服务器和客户端站点上采取的安全措施。

加固邮件服务器

为了强化邮件服务器，您需要遵循以下步骤 –

步骤 1. 将邮件服务器配置为没有 Open Relay

将邮件中继参数配置为非常严格是非常重要的。所有邮件服务器都有此选项，您可以在其中指定邮件服务器将邮件中继到的域或 IP 地址。此参数指定您的 SMTP 协议应将邮件转发给谁。开放中继可能会伤害您，因为垃圾邮件发送者可以使用您的邮件服务器向他人发送垃圾邮件，从而导致您的服务器被列入黑名单。

步骤 2. 设置 SMTP 身份验证以控制用户访问

SMTP 身份验证通过首先提供用户名和密码来强制使用您的服务器的人获得发送邮件的权限。这有助于防止任何开放中继和滥用您的服务器。如果配置正确，只有已知帐户才能使用您服务器的 SMTP 发送电子邮件。当您的邮件服务器具有路由 IP 地址时，强烈建议使用此配置。

步骤 3. 限制连接以保护您的服务器免受 DoS 攻击

到您的 SMTP 服务器的连接数应该受到限制。这些参数取决于服务器硬件的规格，它是每天的标称负载。用于处理连接限制的主要参数包括：连接总数、同时连接总数和最大连接速率。为了保持这些参数的最佳值，可能需要随着时间的推移进行改进。它可以防止针对您的网络基础设施的垃圾邮件泛滥和 DoS 攻击。

步骤 4. 激活反向 DNS 以阻止虚假发件人

大多数邮件系统在接受邮件之前使用 DNS 查找来验证发件人的电子邮件域是否存在。反向查找也是打击虚假邮件发件人的一个有趣选项。激活反向 DNS 查找后，您的 SMTP 将验证发件人 IP 地址是否与 SMTP 客户端在EHLO/HELO 命令中提交的主机名和域名匹配。这对于阻止地址匹配测试失败的消息非常有价值。

步骤 5. 使用 DNSBL 服务器打击传入电子邮件的滥用

保护电子邮件服务器的最重要配置之一是使用基于 DNS 的黑名单。检查全球 DNSBL 服务器是否知道发件人域或 IP 可以大大减少收到的垃圾邮件数量。激活此选项并使用最大数量的 DNSBL 服务器将大大减少未经请求的传入电子邮件的影响。为此，DNSBL 服务器列表以及所有已知的垃圾邮件发送者 IP 和域都存储在一个网站中，该网站的链接是 – https://www.spamhaus.org/organization/dnsblusage/

步骤 6. 激活 SPF 以防止欺骗来源

发件人策略框架 (SPF) 是一种用于防止伪造发件人地址的方法。如今，几乎所有滥用电子邮件都带有虚假的发件人地址。SPF 检查确保允许发送 MTA 代表发件人的域名发送邮件。在您的服务器上激活 SPF 后，发送服务器的 MX 记录（DNS 邮件交换记录）会在任何邮件传输发生之前进行验证。

步骤 7. 启用 SURBL 以验证消息内容

SURBL（垃圾邮件 URI 实时阻止列表）根据邮件中的无效或恶意链接检测不需要的电子邮件。拥有 SURBL 过滤器有助于保护用户免受恶意软件和网络钓鱼攻击。目前，并非所有邮件服务器都支持 SURBL。但是，如果您的消息服务器确实支持它，激活它会提高您的服务器安全性以及整个网络的安全性，因为超过 50% 的 Internet 安全威胁来自电子邮件内容。

步骤 8. 维护本地 IP 黑名单以阻止垃圾邮件发送者

在您的电子邮件服务器上拥有本地 IP 黑名单对于打击仅针对您的特定垃圾邮件发送者非常重要。列表的维护可能需要资源和时间，但它会带来真正的附加值。结果是一种快速可靠的方法，可以阻止不需要的 Internet 连接干扰您的消息传递系统。

步骤 9. 出于隐私考虑加密 POP3 和 IMAP 身份验证

POP3 和 IMAP 连接最初的构建并没有考虑到安全性。因此，它们通常在没有强身份验证的情况下使用。这是一个很大的弱点，因为用户的密码是通过您的邮件服务器以明文形式传输的，因此很容易被黑客和怀有恶意的人访问。SSLTLS 是实现强身份验证的最著名和最简单的方法；它被广泛使用并被认为足够可靠。

步骤 10. 任何故障转移都至少有两个 MX 记录

具有故障转移配置对于可用性非常重要。拥有一个 MX 记录永远不足以确保向给定域的邮件连续流动，这就是为什么强烈建议为每个域设置至少两个 MX 的原因。第一个被设置为主要的，如果主要的出于任何原因关闭，则使用次要的。此配置在DNS 区域级别完成。

保护电子邮件帐户

在本节中，我们将讨论如何保护电子邮件帐户并避免它们被黑客入侵。

保护客户站点

最重要的是创建复杂的密码。由于有许多技术可用于破解密码，例如蛮力、字典攻击和密码猜测。

强密码包含 –

7 到 16 个字符。
大写和小写字母
数字
特殊的角色

更改密码

始终将电子邮件密码与您有权访问的另一封真实电子邮件联系起来。因此，如果此电子邮件被黑客入侵，您有可能再次获得访问权限。

在您的计算机中安装邮件防病毒软件，以便您的电子邮件客户端中的每封电子邮件都像附件和网络钓鱼链接一样被扫描。

保护控制

如果您有使用 Web 访问的习惯，那么永远不要打开带有 . .exe扩展。

与重要数据进行正式通信时，建议使用加密电子邮件。所以最好对终端用户之间的通信进行加密，一个很好的工具是PGP 加密工具。