Mail Sunucu Nasıl Güvenli Hale Getirilir?

1.Open Relay olmaktan kaçınmak için posta geçişi seçeneklerini dikkatlice yapılandırın

Mail relay parametrenizi kısıtlayıcı olacak şekilde yapılandırmanız çok önemlidir. Tüm posta sunucularında, posta sunucunuzun postaları hangi alanlara ya da IP adreslerine ileteceğini belirleyebilirsiniz. Başka bir deyişle, bu parametre SMTP protokolünüzün kime posta göndermesi gerektiğini belirtir. Bu seçeneğin yanlış yapılandırılması zarar verebilir, çünkü spam gönderenler posta sunucunuzu (ve ağ kaynaklarınızı) spam için ağ geçidi(gateway) olarak kullanabilir ve kara listeye alınmanıza neden olur.

2.Kullanıcı erişimini kontrol etmek için SMTP kimlik doğrulamasını ayarlayın

SMTP Kimlik Doğrulama, sunucunuzu kullanan kişileri, kullanıcı adı ve parola sağlayarak posta gönderme izni almak için kullanılır. Bu, açık geçişi (open relay) ve sunucunuzun kötüye kullanımını önlemeye yardımcı olur. Doğru şekilde yapılandırılmışsa, yalnızca bilinen hesaplar e-posta göndermek için SMTP sunucularınızı kullanabilir. Posta sunucunuzda yönlendirilmiş bir IP adresi olduğunda bu yapılandırma şiddetle önerilir.

3.Sunucunuzu DoS saldırılarına karşı korumak için bağlantıları sınırlayın

SMTP sunucunuzla olan bağlantı sayısı sınırlı olmalıdır. Bu parametreler sunucu donanımının özelliklerine (bellek, NIC bant genişliği, CPU vb.) ve günlük nominal yüküne bağlıdır. Bağlantı limiti için kullanılan ana parametreler şunlardır: toplam bağlantı sayısı, toplam eşzamanlı bağlantı sayısı ve maksimum bağlantı hızı. Bu parametreler için en uygun değerleri korumak için zamanla güncelleme gerekebilir. Bu, ağ altyapınızı hedefleyen spam floodlarını ve DoS saldırılarını azaltmak için çok yararlı olabilir.

4.Sahte mail gönderenleri engellemek için reverse DNS’yi etkinleştirin

Çoğu mesajlaşma sistemi, bir mesajı kabul etmeden önce gönderenlerin e-posta etki alanının varlığını doğrulamak için DNS aramalarını kullanır. Tersine arama, sahte posta gönderenlerle mücadele etmek için kullanılan bir seçenektir. Ters (reverse) DNS araması etkinleştirildiğinde, SMTP’niz gönderen IP adresinin, SMTP istemcisi tarafından EHLO / HELO komutunda gönderilen hem ana bilgisayar hem de etki alanı adları ile eşleştiğini doğrular. Bu, adres eşleştirme testinde başarısız olan mesajları engellemek için çok değerlidir.

5.Gelen e-posta kötüye kullanımıyla mücadele etmek için DNSBL sunucularını kullanın

E-posta sunucunuzu korumak için en önemli yapılandırmalardan biri, DNS tabanlı kara listeler kullanmaktır. Gönderen etki alanının veya IP’nin dünya çapındaki DNSBL sunucuları (örneğin Spamhaus, vb.) tarafından bilinip bilinmediğini kontrol etmek ve alınan spam miktarını önemli ölçüde azaltabilir. Bu seçeneği etkinleştirmek ve maksimum sayıda DNSBL sunucusu kullanmak, istenmeyen gelen e-postaların etkisini büyük ölçüde azaltacaktır. DNSBL sunucuları, bu amaçla bilinen tüm spam göndericileri IP’lerini ve alan adlarını listeler.

6.Sahte kaynakları önlemek için SPF’yi etkinleştirin

Gönderen Politika Çerçevesi (SPF-Sender Policy Framework), sahte gönderici adresleri önlemek için kullanılan bir yöntemdir. Günümüzde, neredeyse tüm kötü niyetli e-posta iletilerinde sahte gönderen adresleri bulunur. SPF kontrolü, gönderen MTA’nın, gönderenin etki alanı adı adına posta göndermesine izin verilmesini sağlar. Sunucunuzda SPF etkinleştirildiğinde, gönderen sunucular MX kaydı (DNS Mail Exchange kaydı) mesaj iletimi gerçekleşmeden önce doğrulanır.

7.Mesaj içeriğini doğrulamak için SURBL’yi etkinleştirin

SURBL (Spam URI Gerçek Zamanlı Blok Listeleri), bir mesajdaki geçersiz veya kötü niyetli bağlantılara dayanarak istenmeyen e-postaları algılar. SURBL filtresine sahip olmak, kullanıcıları kötü amaçlı yazılımlardan ve kimlik avı saldırılarından korumaya yardımcı olur. Şu anda, tüm posta sunucuları SURBL’yi desteklememektedir. Ancak, mesajlaşma sunucunuz destekliyorsa, etkinleştirmek, İnternet güvenliği tehditlerinin %50’sinden fazlası e-posta içeriğinden geldiğinden, sunucunuzun güvenliğini ve tüm ağınızın güvenliğini artıracaktır.

8.Spam gönderenleri engellemek için yerel IP kara listelerine sahip olun

E-posta sunucunuzda yerel bir IP kara listeye sahip olmak, yalnızca sizi hedef alan belirli spam göndericilere karşı koymak için çok önemlidir. Listenin bakımı kaynak ve zaman alabilir ancak gerçek bir koruma sağlar. Sonuç, istenmeyen İnternet bağlantılarının mesajlaşma sisteminizi rahatsız etmesini engellemenin hızlı ve güvenilir bir yoludur.

9.Gizlilikle ilgili endişeler için POP3 ve IMAP kimlik doğrulamasını şifreleyin

POP3 ve IMAP bağlantıları başlangıçta güvenlik göz önünde bulundurularak yapılmamıştır. Sonuç olarak, genellikle güçlü kimlik doğrulama olmadan kullanılırlar. Bu, kullanıcılar parolalarını posta sunucunuz üzerinden açık bir şekilde iletildiğinden ve böylece bilgisayar korsanlarının ve kötü niyetli kişilerin kolayca erişebilmelerini sağlayan büyük bir zayıflıktır. SSLTLS, güçlü kimlik doğrulaması uygulamanın en iyi bilinen ve en kolay yoludur; yaygın olarak kullanılır ve yeterince güvenilir olarak kabul edilir.

10. Yük devretme için en az 2 MX kaydınız olsun

Yük devretme (Failover: Bir bilgisayar ağında ağdaki akışta bir sorun olduğunda akış yükünü kaldıracak sistem yeterliliği) yapılandırmasına sahip olmak, kullanılabilirlik açısından çok önemlidir. Bir MX kaydına sahip olmak, belirli bir etki alanına sürekli bir posta akışı sağlamak için hiçbir zaman yeterli olmadığından, her bir etki alanı için en az 2 MX kurmanız şiddetle tavsiye edilir. İlki birincil olarak ayarlanır ve ikincisi, herhangi bir nedenden çökerse birincil olarak kullanılır. Bu yapılandırma, DNS Bölgesi düzeyinde yapılır.

Kaynak : Beyaz.Net

Bunları da sevebilirsiniz

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir