Nu de puține ori dorim ca căsuțele de e-mail de la firmă să fie găzduite pe propriul server de e-mail. Acest lucru poate avea mai multe cauze mai mult sau mau puțin obective: serviciile de găzduire sunt prea scumpe, informațiile tranzitate sunt sensibile/cu caracter confidențial, vrem să avem control deplin asupra informațiilor tranzitate prin serverul de e-mail sau pur și simplu dorim să plătim niște bani în plus pentru un Exchange server sau SBS.

1. Firewall. Dacă nu putem să punem serverul de e-mail într-un DMZ este bine cel puțin să configurăm un firewall pentru acesta. Presupunem că un atacator vrea să fure informațiile de pe serverul de e-mail. Acesta încearcă să-l atace și nu reușește. Îl scanează și vede că pe acesta mai rulează încă niște servicii. Dacă firewall-ul sau IDS/IPS-ul  îl oprește atunci se va lăsa păgubaș.
2. Filtru anti-virus și anti-spam. Pur și simplu nu pot percepe ca un server de e-mail din zilele noastre să nu scaneze email-urile de viruși/spam. Domeniul este foarte vast, este greu să vă spun care soluție să o implementați, care e mai bună și care nu. Puteți alege soluții libere(SpamAssassin și ClamAV) sau chiar soluții comerciale.
3. Blocarea portului 25 în rețea. Este în general un lucru bun ca din rețeaua locală să poată fi accesat doar serverul de e-mail propriu. Se întâmplă în ultima vreme destul de des ca cel puțin o stație din rețea să se viruseze și să trimită mesaje de tip spam pe internet. Filtrele anti-spam ar lua-o razna în primul rând datorită faptului că IP-ul(IP-urile) rețelei firmei intră în RBL-uri. Dacă aveți angajați care solicită acces la portul 25 înseamnă că aceștia vor să folosească alt server de e-mail, poate unul personal și va trebui să vă gândiți la seriozitatea acelui angajat. O altă posibilitate este ca routerul să facă DNAT pentru portul 25 către propriul server de e-mail.
4. STARTTLS. Este bine ca serverul nostru de e-mail să comunice criptat cel puțin cu acele servere de e-mail cu care poate. Există servere de e-mail care nu suportă acest mod de comunicare. Pentru a verifica acest lucru folosim comanda telnet

   server:~# telnet localhost 25
   Trying 127.0.0.1...
   Connected to localhost.
   Escape character is '^]'.
   220 localhost ESMTP Postfix (Debian/GNU)
   EHLO mail
   250-localhost
   250-PIPELINING
   250-SIZE 10240000
   250-VRFY
   250-ETRN
   250-STARTTLS
   250-AUTH LOGIN PLAIN
   250-AUTH=LOGIN PLAIN
   250-ENHANCEDSTATUSCODES
   250-8BITMIME
   250 DSN
   QUIT
   221 2.0.0 Bye
   Connection closed by foreign host.

   Observăm că la comanda EHLO că serverul de e-mail răspunde cu 250-STARTTLS

5. IMAPs/POP3s. Este recomandat ca serviciile POP3 și IMAP să funcționeze criptat. Chiar dacă cineva încearcă prin Internet să intercepteze comunicația aceasta este criptată și îi este cel puțin mai greu să intercepteze ceva.
6. HTTPS pentru webmail. Povestea e aceeași ca la punctul anterior. Dacă tot veni vorba de webmail feriți-vă de Squirrelmail, este mai degrabă o interfață de citit e-mail-ul decât un webmail.
7. Luați în considerare existența unui VPN. Uneori citirea e-mailurilor este mai sigură dacă se întâmplă printr-un VPN. În felul acesta serviciile POP3/IMAP pot fi închise publicului larg. În materie de VPN evitați folosirea VPN-ului de tip pptp, deși configurarea este foarte ușoară pot apărea diverse probleme, de securitate sau chiar de funcționalitate, de exemplu este posibil ca de pe unele rețele wireless să nu funcționeze.
8. Software-ul trebuie întreținut! Dacă aveți personal dedicat angajat în vederea  întreținerii hardware/software a rețelei este bine ca acel om să întrețină și serverul de e-mail, adică să-l actualizeze, să-l monitorizeze(o simplă verificare zilnică), să primească mesajele de sistem. Dacă nu, apelați la o firmă care să facă asta pentru dumneavoastră.

În final v-aș recomanda să folosiți un server de e-mail bazat pe linux, acestea necesită mult mai puține cheltuieli de instalare și întreținere și se dovedesc a fi mult mai fiabile. Dacă-mi scapă ceva vă invit să comentați.

Sursa: http://emil.cheriches.ro/2010/02/01/serverul-de-e-mail.html

Nu de puține ori e-mailul nostru trece și prim mână altuia. Ca să ne protejăm de acest lucru putem cripta conținutul e-mail-ului folosing utilitate de gen GnuPG.

Un ghid de utilizare a criptării de-critpării utilizând Mozilla Thunderbird și Enigmail aici.

Etichete: criptare | pgp

La construcția unei rețele de calculatoare găsim termenul de DMZ, sau Zonă Demilitarizată. Definiția spune că această zonă demilitarizată este o sub-rețea delimitaă fizic sau logic de restul rețelei companiei. Scopul principal este de a plasa acolo echipamentele sau serverele expuse, adică cele la care publicul larg are acces. În felul acesta oferim un grad suplimentar de securitate al rețelei interne  de calculatoare prin simplu fapt că de exemplu dacă cineva rău intenționat ar ataca un serviciu public și ar primi acces pe unul din serverele publice, nu ar avea implicit acces și la resursele rețelei private.

Blindaj din ambele părți. Ce înseamnă asta. Îseamnă că rețeaua companiei ar trebui să fie protejată din ambele părți, atât din partea internetului cât și din partea DMZ-ului. Unele firewall-uri au astfel de funcții, pentru unele este nevoie să plătiți suplimentar ca astfel de funcții să fie activate. Acest lucru însă se poate face foarte simplu și cu un router bazat pe Linux.

Citește mai mult aici

Etichete: DMZ | Firewall