Wie man eine effektive Mail-Server-Abwehr aufbaut

Ein mehrstufiger Ansatz zur Sicherung Ihrer E-Mail-Kommunikation

Wenn es um die Sicherheit von Mail-Servern geht, neigt man dazu, das Thema auf die angewandten Sicherheitsmaßnahmen für Nachrichten zu beschränken, und noch mehr auf Antivirus- und Antispam-Schutz. Dies ist jedoch nur eine Stufe im komplexeren Prozess der Sicherung Ihres Servers. Dieser Artikel zielt darauf ab, alle Sicherheitsschichten zu identifizieren und zu erklären, die bei der Auswahl eines bestimmten Mail-Servers und folglich bei der Konfiguration und Nutzung von großer Bedeutung sind.

1. Sicherung der Mail-Server-Verbindungen

Bei der Verwendung eines neu installierten Mail-Servers sollten Administratoren zunächst sicherstellen, dass sie sichere Verbindungen verwenden. Es gibt zwei Hauptmöglichkeiten, um Verbindungen zu sichern: Verschlüsselung und Firewall-ähnliche Regeln.

Kodierungsmethoden wurden kontinuierlich entwickelt, da das Internet zum bevorzugten Medium für Datenübertragungen geworden ist. Die am häufigsten verwendeten Verschlüsselungsmethoden sind SSL (Secure Sockets Layer) und TLS (Transport Layer Security). Eine falsche Verwendung von Verschlüsselung führt jedoch häufig zu Sicherheitsverletzungen. Die häufigsten Beispiele sind Webseiten, die sowohl gesicherte als auch ungesicherte Informationen enthalten, oder Kommunikationen, die nur nach dem Login über eine einfache Anmeldeseite gesichert sind.

Firewall-ähnliche Regeln

, die auf Serverebene durchgesetzt werden, werden empfohlen, um eine vorhandene Firewall zu unterstützen oder sie zu ersetzen, wenn keine vorhanden ist. Sie können Einschränkungen sowohl für etablierte Verbindungen als auch für den gehosteten Datenverkehr auferlegen. Wir empfehlen, sowohl global (auf alle Protokolle und Listener angewendet) als auch spezifisch für jeden Listener Erlauben-/Verweigern-Regeln zu erstellen, um Angriffe wie DOS (Denial of Service) zu verhindern.

2. Sicherung der Mail-Server-Protokolle

Nachdem die erste Stufe einer E-Mail-Übertragung gesichert wurde, besteht der nächste Schritt darin, die Protokolle zu sichern.

Die empfohlenen Schritte sind die Verwendung von mehreren Listenern für jede Schnittstelle und deren Korrelation mit bestimmten Erlauben- und Verweigern-Regeln. Auch die Begrenzung der Anzahl von Verbindungs- und Authentifizierungsfehlern, die maximale Anzahl von Befehlen oder das Setzen eines Zeitlimits für Ihre Sitzungen kann helfen, Ihren Server vor weiteren DOS-Angriffen zu schützen.

Um die Protokollsicherheit weiter zu erhöhen, empfehlen wir Client-Kontrollregeln, die auf der Absender- oder Empfängeradresse basieren und bestimmte Einschränkungen hinsichtlich der Anzahl und Größe von E-Mail-Nachrichten enthalten.

Die Authentifizierung ist auch auf Protokollebene von großer Bedeutung. Durch die Implementierung mehrerer Authentifizierungsmethoden, entweder einfacher (plain, login, CRAM-MD5) oder komplexer (GSSAPI, Kerberos), verbessert der Mail-Server die Kommunikationssicherheit und ist besser gegen Angriffe und unbefugten Zugriff gewappnet.

Andere effiziente Lösungen auf Protokollebene sind sicherzustellen, dass Ihr Mail-Server RFC-konform ist und E-Mail-Schleifen verhindert (eine sehr einfache Methode wäre, eine maximale Anzahl von “Received”-Headern pro E-Mail festzulegen).

3. Sicherung der E-Mail-Kontrollparameter

Neben der Verwendung verschiedener Antispam- und Antivirus-Anwendungen gibt es weitere Maßnahmen, die Sie im Hinblick auf die auf E-Mail-Kontrolle basierende Sicherheit beachten sollten. Eine sehr praktische Option wäre die Verwendung von

Grauen Listen.

Graue Listen sind im Grunde eine Aufforderung, die E-Mail erneut zu senden, nachdem die E-Mail vorübergehend abgelehnt wurde. Der Server speichert die IP des Absenders und den Empfänger in einer Liste und gibt einen vorübergehenden Fehler zurück. Alle gültigen Server werden dann die E-Mails erneut senden, im Gegensatz zu Spam-Skripten. Bitte beachten Sie jedoch, dass viele Server zu diesem Zeitpunkt nicht zwischen einem vorübergehenden und einem permanenten Fehler unterscheiden können.

Host-Kontrolle

ist eine weitere einfache Möglichkeit, um sicherzustellen, dass nur gültige E-Mails von Ihrem Mail-Server weiterverarbeitet werden. Zwei bekannte Methoden sind

SPF (Sender Policy Framework)

und

DNS-basierte Blackhole-Listen.

SPF-Einträge sind öffentliche Details, die von Domains innerhalb von DNS-Servern veröffentlicht werden. In der Regel verweisen sie auf und bestätigen die echten Adressen von Domains. Durch die Verwendung von SPF-Prüfungen können Sie erfolgreich Spam und Backscatter-E-Mails verhindern.

Schwarze Listen können entweder öffentlich (kostenlos) oder privat sein und enthalten in der Regel IP-Adressen von offenen Relay-Servern, offenen Proxys und ISPs ohne Spam-Filterung. Ihr Server muss so konfiguriert sein, dass er solche Listen anfordert und keine Verbindungen akzeptiert, die von IP-Adressen initiiert werden, die in diesen Listen enthalten sind. Wenn einer Ihrer Server fälschlicherweise gelistet wird, müssen Sie möglicherweise ein Online-Formular ausfüllen, die Listenadministratoren kontaktieren oder in schwerwiegenderen Fällen Ihre IP-Adresse ändern.

Eine komplexere Authentifizierungsmethode ist

DKIM (Domain Keys Identified Mail Signature).

Implementiert von Yahoo und unterstützt von Google, Cisco, Sendmail, PGP, hat DKIM erhebliche Chancen, die Standardauthentifizierungsmethode zu werden. Der E-Mail-Header enthält eine verschlüsselte Signatur und ist seinerseits verschlüsselt, wobei auf einen verschlüsselten Schlüssel verwiesen wird, der von der sendenden Domain auf DNS-Servern veröffentlicht wird. Der Server, der die E-Mail verarbeitet, verwendet diesen Schlüssel, um den E-Mail-Inhalt zu entschlüsseln. Wenn die Entschlüsselung erfolgreich ist, ist die E-Mail gültig.

Relay-Regeln

können manchmal den Unterschied zwischen einem gesicherten Server und einem unsicheren ausmachen. Unsere erste Empfehlung ist, niemals offenes Relaying zu akzeptieren, da dies Sie leicht auf die schwarze Liste setzen kann. Daher sollten Sie einige Relay-Regeln implementieren, die auf der Absenderadresse/Empfängeradresse basieren oder nur für authentifizierte Benutzer relayed werden. Bei der Auswahl Ihres Mail-Servers sollten Sie sicherstellen, dass er die folgenden Funktionen hat: Er erlaubt das Erstellen von Relay-Regeln, die Domain-Authentifizierung ist konfigurierbar, die sendende Schnittstelle ist anpassbar, er unterstützt SSL/TSL und verschiedene Authentifizierungsmethoden und -erweiterungen.

4. Sichere Konfiguration und Verwaltung

Konfiguration und Verwaltung werden nicht allgemein als Sicherheitsschicht betrachtet. Die Konfigurationsmerkmale, die vom Server angeboten werden, und die tatsächliche Konfiguration, die vom Benutzer vorgenommen wird, spielen jedoch eine Schlüsselrolle bei der Sicherung Ihres MTA. Zunächst sollte sich der Administrator mit der Lösung, all ihren Funktionen und all ihren Mängeln, falls vorhanden, vertraut machen. Die Serverausführungsdatei

muss Programmierung ohne Speicherlecks unterstützen, Root-Rechte (nur auf Unices-Systemen) abgeben und alle Zugriffsanforderungen blockieren, außer für öffentliche Dateien.

Der Zugriff auf die Konfigurationsdatei

sollte nur dem Administrator gewährt werden. Darüber hinaus sollte die Datei immer sehr spezifisch, leicht verständlich und zu ändern sein, während alle Standardwerte sicher sein sollten. Zum Beispiel würde ein Standardwert, der offenes Relaying erlaubt, einen erheblichen Sicherheitsfehler darstellen.

Alternative Verwaltungsmodule

(Webschnittstelle, Befehlszeilenschnittstelle) sollten bereitgestellt werden, um die Serverkonfiguration zu ändern. Es ist auch sehr wichtig, dass alle Verbindungen zu diesen Modulen über SSL hergestellt werden. Um sicherzustellen, dass Sie sicher auf diese Module zugreifen, empfehlen wir die Verwendung eines Mail-Servers mit einem proprietären HTTP-Server

und einer HTML-basierten Skriptsprache.

Unsere umfassendste Sicherheitsempfehlung ist die Implementierung eines “Smart-Hosting”-Systems. Ein solches System besteht aus mehreren Mail-Servern, die auf verschiedenen Maschinen installiert sind, wobei jeder eine spezifische Aufgabe erfüllt. Der Server, der den besten Verbindungs- und Protokollsicherheitsschutz bietet, sollte sich auf den Firewall-Schutz konzentrieren. Der zweite sollte E-Mail-Kontrollparameter (einschließlich Antispam- und Antivirus-Anwendungen) ausführen. Der dritte sollte sich hauptsächlich auf das Domain-Management konzentrieren. Smart Hosting könnte jedoch mehr Hardware- und Software-Ressourcen erfordern, als in Ihrem System verfügbar sind.

Smart Hosting

Fazit

Der wichtigste Aspekt, den Sie im Hinterkopf behalten sollten, ist, dass es keine hundertprozentige Sicherheit gibt; daher sollte ein optimaler Schutz Perfektion ersetzen. Auf jeder Sicherheitsschicht gibt es mögliche Schwächen und Verletzungen. Die Lösung besteht darin, die bestmögliche Konfiguration auszuwählen und sie an die Bedürfnisse und die Topologie Ihres Netzwerks anzupassen.

Für weitere Informationen, Kommentare und Fragen besuchen Sie bitte entweder die

AXIGEN-Website

oder senden Sie eine Nachricht an unser Support-Team (

[email protected]

).