Internet-security-email-security
インターネットセキュリティ-メールセキュリティ
この章では、メールサーバーとクライアントサイトで実行する必要があるセキュリティ対策について説明します。
メールサーバーの強化
メールサーバーを強化するために、次の手順に従う必要があります-
ステップ1。 オープンリレーを持たないようにメールサーバーを構成する
メールリレーパラメータを非常に制限するように設定することが非常に重要です。 すべてのメールサーバーにはこのオプションがあり、メールサーバーがメールを中継するドメインまたはIPアドレスを指定できます。 このパラメーターは、SMTPプロトコルがメールを転送する相手を指定します。 スパマーは他のユーザーをスパムするためにメールサーバーを使用する可能性があるため、オープンリレーはあなたに害を及ぼす可能性があり、その結果サーバーがブラックリストに登録されます。
ステップ2。 SMTPアクセスを設定してユーザーアクセスを制御する
SMTP認証は、ユーザー名とパスワードを最初に入力することにより、サーバーを使用するユーザーにメール送信の許可を強制的に取得させます。 これは、オープンリレーやサーバーの悪用を防ぐのに役立ちます。 適切に設定されている場合、既知のアカウントのみがサーバーのSMTPを使用してメールを送信できます。 メールサーバーにルーティングIPアドレスがある場合、この構成を強くお勧めします。
ステップ3 サーバーをDoS攻撃から保護するために接続を制限する
SMTPサーバーへの接続数を制限する必要があります。 これらのパラメーターはサーバーハードウェアの仕様に依存し、1日あたりの公称負荷です。 接続制限を処理するために使用される主なパラメーターには、接続の合計数、同時接続の合計数、および最大接続速度が含まれます。 これらのパラメーターの最適な値を維持するには、時間の経過とともに改良が必要になる場合があります。 ネットワークインフラストラクチャを標的とするスパムフラッドとDoS攻撃を防止します。
ステップ4 偽の送信者をブロックするためにリバースDNSをアクティブにします
ほとんどのメッセージングシステムは、DNSルックアップを使用して、メッセージを受け入れる前に送信者のメールドメインの存在を確認します。 逆引きも偽のメール送信者と戦うための興味深いオプションです。 DNS逆引き参照がアクティブになると、SMTPは、送信者のIPアドレスが、* EHLO/HELOコマンド*でSMTPクライアントによって送信されたホスト名とドメイン名の両方と一致することを確認します。 これは、アドレス一致テストに失敗したメッセージをブロックする場合に非常に役立ちます。
ステップ5 DNSBLサーバーを使用して、受信メールの悪用と戦う
メールサーバーを保護するための最も重要な構成の1つは、* DNSベースのブラックリスト*を使用することです。 送信者のドメインまたはIPが世界中のDNSBLサーバーによって認識されているかどうかを確認すると、受信されるスパムの量を大幅に削減できます。 このオプションを有効にして、最大数のDNSBLサーバーを使用すると、迷惑な受信メールの影響を大幅に軽減できます。 DNSBLサーバーリストは、この目的のためのすべての既知のスパマーIPとドメインとともにすべてウェブサイトに保存され、このウェブサイトへのリンクは– [[1]]
ステップ6 SPFをアクティブにして、なりすましのソースを防止する
Sender Policy Framework(SPF)は、送信者のなりすましを防ぐために使用される方法です。 現在、ほとんどすべての不正な電子メールメッセージには偽の送信者アドレスが含まれています。 SPFチェックにより、送信側のMTAが送信者のドメイン名に代わってメールを送信できるようになります。 サーバーでSPFがアクティブになると、送信サーバーのMXレコード(DNSメール交換レコード)が検証されてから、メッセージが送信されます。
ステップ7 SURBLを有効にしてメッセージの内容を確認する
SURBL(スパムURIリアルタイムブロックリスト)は、メッセージ内の無効または悪意のあるリンクに基づいて、不要な電子メールを検出します。 SURBLフィルターを使用すると、ユーザーをマルウェアやフィッシング攻撃から保護するのに役立ちます。 現在、すべてのメールサーバーがSURBLをサポートしているわけではありません。 ただし、メッセージングサーバーがそれをサポートしている場合、インターネットセキュリティの脅威の50%以上が電子メールコンテンツに起因するため、アクティブ化するとサーバーのセキュリティが向上し、ネットワーク全体のセキュリティが向上します。
ステップ8。 ローカルIPブラックリストを維持して、スパマーをブロックします
電子メールサーバーにローカルIPブラックリストを作成することは、自分だけを標的とする特定のスパマーに対抗するために非常に重要です。 リストのメンテナンスにはリソースと時間がかかりますが、実際の付加価値をもたらします。 その結果、不要なインターネット接続がメッセージングシステムに迷惑を掛けないようにする迅速で信頼性の高い方法が得られます。
ステップ9。 プライバシーの問題のためにPOP3およびIMAP認証を暗号化する
POP3およびIMAP接続は、もともと安全性を考慮して構築されたものではありません。 その結果、それらは多くの場合、強力な認証なしで使用されます。 ユーザーのパスワードはメールサーバーを介してクリアテキストで送信されるため、ハッカーや悪意のあるユーザーが簡単にアクセスできるため、これは大きな弱点です。 SSLTLSは、強力な認証を実装するための最もよく知られた最も簡単な方法です。広く使用されており、十分に信頼できると考えられています。
ステップ10。 フェールオーバー用に少なくとも2つのMXレコードがあります
フェイルオーバー構成は、可用性にとって非常に重要です。 1つのMXレコードを持つことは、特定のドメインへのメールの継続的なフローを保証するのに十分ではないため、各ドメインに少なくとも2つのMXをセットアップすることを強くお勧めします。 最初のものがプライマリとして設定され、プライマリが何らかの理由でダウンした場合にセカンダリが使用されます。 この構成は、* DNSゾーンレベル*で行われます。
メールアカウントの保護
このセクションでは、メールアカウントを保護し、ハッキングされないようにする方法について説明します。
クライアントサイトでのセキュリティ保護
最も重要なことは、*複雑なパスワードを作成する*ことです。 ブルートフォース、辞書攻撃、パスワード推測など、パスワードを解読するための多くの手法があります。
- 強力なパスワードには-*が含まれます
- 7〜16文字。
- 大文字と小文字
- 番号
- 特殊キャラクター
メールパスワードは、常にアクセス可能な別の本物のメールに接続してください。 そのため、このメールがハッキングされた場合、再びアクセスできる可能性があります。
メールウイルス対策ソフトウェアをコンピューターにインストールして、メールクライアントに送信されるすべてのメールが添付ファイルやフィッシングリンクのようにスキャンされるようにします。
Webアクセスを使用する習慣がある場合は、拡張子が .exe の添付ファイルを開かないでください。
重要なデータと公式に通信する場合は、暗号化された電子メールを使用することをお勧めします。 したがって、エンドユーザー間で通信を暗号化することをお勧めします。これに適したツールは PGP Encryption Tool です。
