Ketika berbicara tentang keamanan yang terkait dengan server surat, seseorang cenderung membatasi masalah tersebut untuk mengirim pesan tindakan keamanan yang diterapkan, dan bahkan lebih ke perlindungan Antivirus dan Antispam. Namun ini hanya satu tahap dalam proses pengamanan server Anda yang lebih kompleks.Artikel ini bertujuan untuk mengidentifikasi dan menjelaskan semua lapisan keamanan, sangat penting ketika memilih server email tertentu dan akibatnya ketika mengkonfigurasi dan menggunakannya.
Kami telah memilih pendekatan multi-tahap untuk prosedur pengamanan server e-mail Anda, setiap tahap menangani salah satu lapisan keamanan yang kami anggap relevan: lapisan terkait koneksi, keamanan protokol, parameter kontrol email(termasuk aplikasi Antivirus dan Antispam), dan konfigurasi dan lapisan manajemen(kemungkinan besar akan dipengaruhi oleh kesalahan manusia).
Cara membuat Server Surat sederhana [Windows 10]
http://www.axigen.com/mail-server-img/mail-server-securty-overview.jpg
Bagian di bawah ini menjelaskan langkah-langkah keamanan yang disesuaikan untuk setiap lapisan keamanan:
1. Mengamankan koneksi server email
Saat menggunakan server email yang baru diinstal, administrator harus terlebih dahulu memastikan mereka menggunakan koneksi aman. Ada dua kemungkinan utama untuk mengamankan koneksi: enkripsi dan aturan seperti firewall.
Metode pengkodean terus dikembangkan karena Internet telah menjadi media yang disukai untuk transfer data. Metode enkripsi yang paling umum digunakan adalah SSL (Secure Sockets Layer) dan TLS (Transport Layer Security). Namun, penggunaan enkripsi yang salah sering menyebabkan pelanggaran keamanan. Contoh paling umum adalah halaman web yang berisi informasi yang aman dan tidak aman atau komunikasi yang dijamin hanya setelah login melalui halaman login biasa.
Aturan seperti firewall yang diberlakukan di tingkat server disarankan untuk mencadangkan Firewall yang ada atau menggantinya saat ada yang tidak tersedia. Mereka dapat memberlakukan batasan pada koneksi yang dibuat dan pada lalu lintas yang di-host. Kami merekomendasikan membuat aturan allow / deny baik secara global (diterapkan pada semua protokol dan pendengar) dan khusus untuk setiap pendengar untuk mencegah serangan seperti DOS (Denial of service).
2. Mengamankan protokol server surat
Setelah mengamankan tahap pertama transfer email, tindakan selanjutnya yang akan dilakukan adalah mengamankan protokol.
Langkah yang disarankan adalah menggunakan beberapa pendengar untuk setiap antarmuka dan menghubungkannya dengan aturan yang diizinkan dan ditolak. Selain itu, membatasi jumlah kesalahan koneksi dan otentikasi, jumlah maksimum perintah atau menetapkan batas waktu untuk sesi Anda dapat membantu melindungi server Anda dari serangan DOS lebih lanjut.
Untuk lebih meningkatkan keamanan protokol, kami merekomendasikan aturan kontrol klien, berdasarkan pengirim atau alamat penerima dan batasan tertentu mengenai jumlah dan ukuran pesan email.
Otentikasi juga sangat penting di tingkat protokol. Dengan menerapkan beberapa metode otentikasi, baik yang sederhana (polos, login, CRAM-MD5), atau kompleks (GSSAPI, Kerberos), server mail meningkatkan keamanan komunikasi dan lebih siap terhadap serangan dan akses tidak sah.
Solusi tingkat protokol efisien lainnya adalah memastikan server email Anda sesuai dengan RFC dan mencegah perulangan email (metode yang sangat sederhana adalah mengatur jumlah maksimum tajuk :Diterima: per email).
3. Mengamankan parameter kontrol email
Selain menggunakan aplikasi Antispam dan Antivirus yang berbeda, ada tindakan lebih lanjut yang harus Anda ingat dalam hal keamanan berbasis kontrol email. Satu opsi yang sangat berguna adalah menggunakan daftar abu-abu. Daftar abu-abu pada dasarnya adalah permintaan untuk mengirim ulang email, setelah menolak email untuk sementara. Server menyimpan dalam daftar IP pengirim dan penerima dan mengembalikan kesalahan sementara. Semua server yang valid akan mengirim ulang email, tidak seperti skrip spamming. Harap dicatat bahwa banyak server saat ini tidak dapat membedakan antara kesalahan sementara dan permanen.
Kontrol host adalah cara mudah lainnya untuk memastikan hanya email yang valid yang diproses lebih lanjut oleh server email Anda. Dua metode terkenal adalah SPF (Sender Policy Framework) dan daftar lubang hitam berbasis DNS. Catatan SPF adalah detail publik yang diterbitkan oleh domain dalam server DNS. Biasanya mereka menunjuk dan mengkonfirmasi alamat domain yang sebenarnya. Dengan menggunakan pemeriksaan SPF, Anda berhasil mencegah spam dan menyebarkan kembali email.
Daftar hitam dapat bersifat publik (gratis) atau pribadi dan biasanya berisi alamat IP dari server relai terbuka, proxy terbuka, dan ISP tanpa penyaringan spam. Server Anda perlu diatur seperti untuk meminta daftar tersebut dan tidak menerima koneksi yang diprakarsai oleh alamat IP yang termasuk di dalamnya. Jika salah satu server Anda salah terdaftar, harus dihapus dari daftar seperti itu, Anda mungkin perlu mengisi formulir online, hubungi administrator daftar atau, dalam situasi yang lebih parah, ubah IP Anda.
Metode otentikasi yang lebih kompleks adalah DKIM (Domain Keys Identified Mail Signature). Diimplementasikan oleh Yahoo dan didukung oleh Google, Cisco, Sendmail, PGP, DKIM memiliki peluang besar untuk menjadi metode otentikasi standar. Header email berisi tanda tangan terenkripsi dan pada gilirannya dienkripsi, menunjuk ke kunci terenkripsi, diterbitkan pada server DNS oleh domain pengirim. Server yang memproses email akan menggunakan kunci ini untuk memecahkan kode badan email. Jika dekripsi berhasil, maka email itu valid.
Aturan relay terkadang dapat membuat perbedaan antara server yang aman dan yang tidak aman. Rekomendasi pertama kami adalah untuk tidak pernah menerima relay terbuka, karena dapat dengan mudah membuat Anda terdaftar hitam. Karenanya Anda harus menerapkan beberapa aturan relai, berdasarkan alamat pengirim / alamat penerima, atau relai hanya untuk pengguna yang diautentikasi. Saat memilih server surat Anda, Anda harus memastikan ia memiliki fitur-fitur berikut: memungkinkan membuat aturan relai, otentikasi domain dapat dikonfigurasi, antarmuka pengiriman dapat disesuaikan, mendukung SSL / TSL dan berbagai metode otentikasi dan ekstensi.
4. Konfigurasi dan administrasi aman
Konfigurasi dan administrasi biasanya tidak dianggap sebagai lapisan keamanan. Namun, fitur konfigurasi yang ditawarkan oleh server dan konfigurasi sebenarnya yang dibuat oleh pengguna memainkan peran penting dalam mengamankan MTA Anda. Pertama, administrator harus berkenalan dengan solusi, semua fitur dan semua kekurangannya, jika ada. File yang dapat dieksekusi server perlu mendukung pemrograman tanpa kebocoran memori, menjatuhkan hak akses root (hanya pada sistem Unices), dan memblokir semua permintaan akses kecuali untuk file publik.
Akses ke file konfigurasi harus diberikan kepada administrator saja. Lebih jauh lagi, file harus selalu sangat spesifik, mudah dimengerti dan dimodifikasi, sementara semua nilai default harus aman. Misalnya, nilai default yang memungkinkan relai terbuka akan mewakili kelemahan keamanan utama.
Modul administrasi alternatif (antarmuka web, antarmuka baris perintah) harus disediakan untuk mengubah konfigurasi server. Juga sangat penting bahwa semua koneksi ke modul-modul ini dibuat melalui SSL. Untuk memastikan Anda mengakses modul-modul ini dengan aman, kami sarankan menggunakan server mail dengan server HTTP dan bahasa scripting berbasis HTML.
Rekomendasi keamanan terlengkap kami adalah menerapkan sistem :smart-hosting:. Sistem semacam itu terdiri dari beberapa server surat yang diinstal pada mesin yang berbeda, masing-masing melakukan tugas tertentu. Server yang menawarkan koneksi terbaik dan keamanan protokol harus difokuskan pada perlindungan firewall. Yang kedua harus menjalankan parameter kontrol email (termasuk aplikasi Antispam dan Antivirus). Yang ketiga harus difokuskan terutama pada manajemen domain. Namun, hosting pintar mungkin memerlukan lebih banyak sumber daya perangkat keras dan perangkat lunak daripada yang tersedia dalam sistem Anda.
http://www.axigen.com/mail-server-img/smart-hosting.jpg
Kesimpulan
Aspek paling penting yang harus Anda ingat adalah bahwa tidak ada keamanan bukti penuh; karena itu perlindungan yang optimal harus menggantikan kesempurnaan. Pada setiap lapisan keamanan, ada kemungkinan kelemahan dan pelanggaran. Solusinya adalah memilih konfigurasi terbaik dan menyesuaikannya dengan kebutuhan dan topologi jaringan Anda.
Jika Anda memiliki pertanyaan atau komentar lebih lanjut mengenai konten artikel ini, jangan ragu untuk mengirim email ke tim dukungan AXIGEN.