- 互联网安全教程
- 互联网安全 - 主页
- 互联网安全 - 概述
- 互联网安全 - Cookie
- 互联网安全 - 网络钓鱼
- 互联网安全 - 社交网络
- 互联网安全 - Chrome
- 互联网安全 - Mozilla
- 互联网安全 - 资源管理器
- 互联网安全 - Safari
- 互联网安全 - 游戏
- 互联网安全 - 儿童安全
- 互联网安全 - 垃圾邮件
- 互联网安全 - 聊天
- 互联网安全 - 文件下载
- 互联网安全 - 交易
- 互联网安全 - 银行
- 互联网安全 - 电子商务
- 互联网安全 - 证书
- 互联网安全 - 电子邮件安全
- 互联网安全 - 身份盗窃
- 互联网安全 - 网络犯罪
- 互联网安全 - 法律
- 互联网安全 - 清单
- 互联网安全有用资源
- 互联网安全 - 快速指南
- 互联网安全 - 有用资源
- 互联网安全 - 讨论
互联网安全 - 电子邮件安全
在本章中,我们将解释邮件服务器和客户端站点必须采取的安全措施。
强化邮件服务器
为了强化邮件服务器,您需要遵循以下步骤 -
步骤 1. 配置邮件服务器不启用 Open Relay
将邮件中继参数配置得非常严格,这一点非常重要。所有邮件服务器都有此选项,您可以在其中指定邮件服务器将邮件中继到哪些域或 IP 地址。此参数指定 SMTP 协议应将邮件转发给谁。开放中继可能会伤害您,因为垃圾邮件发送者可以使用您的邮件服务器向其他人发送垃圾邮件,从而导致您的服务器被列入黑名单。
步骤 2. 设置 SMTP 身份验证以控制用户访问
SMTP 身份验证强制使用您服务器的人首先提供用户名和密码来获得发送邮件的权限。这有助于防止任何开放中继和滥用您的服务器。如果配置正确,只有已知帐户才能使用服务器的 SMTP 发送电子邮件。当您的邮件服务器具有路由 IP 地址时,强烈建议使用此配置。
步骤 3. 限制连接以保护您的服务器免受 DoS 攻击
应限制 SMTP 服务器的连接数量。这些参数取决于服务器硬件的规格,并且是每天的标称负载。用于处理连接限制的主要参数包括:连接总数、同时连接总数和最大连接速率。为了保持这些参数的最佳值可能需要随着时间的推移进行细化。它可以防止针对您的网络基础设施的垃圾邮件泛滥和 DoS 攻击。
步骤 4. 激活反向 DNS 以阻止虚假发件人
大多数消息系统在接受消息之前使用 DNS 查找来验证发件人的电子邮件域是否存在。反向查找也是对抗虚假邮件发件人的一个有趣的选择。激活反向 DNS 查找后,您的 SMTP 会验证发件人 IP 地址是否与 SMTP 客户端在EHLO/HELO 命令中提交的主机名和域名相匹配。这对于阻止未通过地址匹配测试的消息非常有价值。
步骤 5. 使用 DNSBL 服务器来打击传入电子邮件滥用Behave
保护电子邮件服务器最重要的配置之一是使用基于 DNS 的黑名单。检查全球 DNSBL 服务器是否已知发件人域或 IP 可以大幅减少收到的垃圾邮件数量。激活此选项并使用最大数量的 DNSBL 服务器将大大减少未经请求的传入电子邮件的影响。DNSBL 服务器列表以及所有已知的垃圾邮件发送者 IP 和域都存储在一个网站中,该网站的链接是 – https://www.spamhaus.org/organization/dnsblusage/
步骤 6. 激活 SPF 以防止欺骗源
发件人策略框架 (SPF) 是一种用于防止欺骗发件人地址的方法。如今,几乎所有滥用性电子邮件都带有虚假的发件人地址。SPF 检查确保允许发送 MTA 代表发件人的域名发送邮件。当您的服务器上激活 SPF 时,发送服务器的 MX 记录(DNS 邮件交换记录)将在进行任何邮件传输之前进行验证。
步骤 7. 启用 SURBL 验证消息内容
SURBL(垃圾邮件 URI 实时阻止列表)根据邮件中的无效或恶意链接检测不需要的电子邮件。拥有 SURBL 过滤器有助于保护用户免受恶意软件和网络钓鱼攻击。目前,并非所有邮件服务器都支持SURBL。但是,如果您的消息传递服务器确实支持它,那么激活它会提高您的服务器安全性以及整个网络的安全性,因为超过 50% 的互联网安全威胁来自电子邮件内容。
步骤 8. 维护本地 IP 黑名单以阻止垃圾邮件发送者
在您的电子邮件服务器上拥有本地 IP 黑名单对于打击仅针对您的特定垃圾邮件发送者非常重要。维护列表可能需要资源和时间,但它会带来真正的附加值。其结果是一种快速可靠的方法来阻止不需要的互联网连接干扰您的消息系统。
步骤 9.出于隐私考虑对 POP3 和 IMAP 身份验证进行加密
POP3 和 IMAP 连接最初构建时并没有考虑到安全性。因此,它们经常在没有强身份验证的情况下被使用。这是一个很大的弱点,因为用户的密码通过邮件服务器以明文形式传输,从而使黑客和有恶意的人可以轻松访问它们。SSLTLS 是实施强身份验证的最著名且最简单的方法;它被广泛使用并且被认为足够可靠。
步骤 10. 至少有两条 MX 记录用于任何故障转移
拥有故障转移配置对于可用性非常重要。拥有一条 MX 记录不足以确保邮件持续流向给定域,因此强烈建议为每个域设置至少两个 MX。第一个设置为主要,如果主要因任何原因出现故障,则使用辅助。此配置是在DNS 区域级别完成的。
保护电子邮件帐户
在本节中,我们将讨论如何保护电子邮件帐户并避免它们被黑客攻击。
保护客户站点
最重要的是创建复杂的密码。由于有许多技术可用于破解密码,例如暴力破解、字典攻击和密码猜测。
强密码包含 -
- 7 至 16 个字符。
- 大写和小写字母
- 数字
- 特殊字符
始终将电子邮件密码与您有权访问的其他真实电子邮件连接起来。因此,如果此电子邮件被黑客入侵,您有可能再次获得访问权限。
在您的计算机中安装邮件防病毒软件,以便对电子邮件客户端中收到的每封电子邮件进行扫描,就像扫描附件和网络钓鱼链接一样。
如果您习惯使用网络访问,那么切勿打开带有 . exe扩展名。
与重要数据进行正式沟通时,建议使用加密电子邮件。因此最好对最终用户之间的通信进行加密,一个很好的工具是PGP Encryption Tool。