13 12 2022

الزامات امن‌سازی سرویس پست الکترونیک

با توجه به آسیب‌شناسایی‌های انجام شده در حملات سایبری اخیر، ضرورت رعایت تمهیدات امنیتی زیر در سرویس پست الکترونیک الزامی می باشد:
• عدم ارسال اطلاعات دارای طبقه‌بندی از طریق پست الکترونیک
• انتقال امن اطلاعات موجود در سرور پست الکترونیک به محیط محافظت شده در شبکه داخلی به صورت دوره‌ای
• حذف اطلاعات و فایل‌های غیرلازم از سرویس‌های پست الکترونیک
• گزارش دریافت اطلاعات دارای طبقه‌بندی از بستر پست الکترونیک به مراجع ذی‌صلاح سازمان
• عدم استفاده از بستر پست الکترونیک برای آرشیو یا بستر اشتراک‌گذاری اطلاعات
• عدم واگذاری نام‌کاربری و رمز عبور پست الکترونیک به دیگران
• تغییر دوره‌ای رمزهای عبور کاربران با رعایت سیاست‌های امنیتی نظیر پیچیدگی رمز عبور
• تست نفوذ دوره‌‌ای و ارزیابی امنیتی مستمر سرویس پست الکترونیک و تجهیزات مرتبط
• محدودسازی حجم و پسوند مجاز برای فایل‌های ضمیمه پست الکترونیک
• غیرفعالسازی حساب‌های کاربری بلااستفاده
• استفاده از قابلیت‌های امنیتی سرویس پست الکترونیک نظیر Anti-Phishing، Anti-Spamming، Reverse DNS و مسدودسازی Open Relay
• غیرفعالسازی ماژول‌های غیرضروری سرویس پست الکترونیک
• غیرفعالسازی امکان اجرای فرمان‌های خطرناک و غیرضرور سیستمی در سرویس پست الکترونیک مانند EXPN و VRFY
• حذف یا غیرفعال‌سازی نام‌های کاربری پیش‌فرض که در زمان نصب سرویس پست الکترونیک ایجاد شده‌اند.
• به‌روزرسانی مستمر نرم‌افزارهای پست الکترونیک
• به‌روزرسانی مستمر آنتی‌ویروس سرورها و کلاینت‌ها از مخازن معتبر محلی
• تهیه منظم نسخه‌های پشتیبان و نگهداری آن‌ها در محلی مجزا و امن
• تست صحت و جامعیت آخرین نسخه‌های پشتیبان در محیط آزمایشی مناسب
• استفاده از مکانیزم احراز هویت دو عامله برای دسترسی به سرویس پست الکترونیک
• محدودیت در تعداد کاربران Admin و اطمینان از رعایت سیاست‌های امنیتی مربوط به رمز عبور آن‌ها
• جلوگیری از اتصال نرم‌افزارهای جانبی مانند Outlook به سرویس پست الکترونیک برای دریافت و ارسال ایمیل
• مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه‌های حیاتی به خصوص سرور پست الکترونیک
• پایش مستمر لاگ سرور پست الکترونیک در سامانه مدیریت رویدادهای امنیتی
• قرارگیری سرور پست الکترونیک در ناحیه امن و محافظت شده در شبکه
• غیرفعالسازی تمامی پورت‌ها و سرویس‌های غیرضروری
• بازبینی قواعد دیواره آتش و اطمینان از اعمال سیاست‌های استاندارد امنیتی
• حتی‌الامکان دسترسی به سرویس پست الکترونیک به دسترسی داخل کشور (Iran Access) را محدود کنیم و در صورت ضرورت از راهکارهای تایید شده مانند VPN برای ارتباطات خارج از کشور استفاده کنیم.
• استفاده از پروتکل‌های به‌روز SSL و TLS برای دسترسی به سرویس پست الکترونیک و اطمینان از حفاظت کافی کلیدهای خصوصی در امضای پیام‌ها
• عدم نصب برنامه‌های جانبی به جز سرویس پست الکترونیک روی سرور
• استفاده از NTP Server داخلی
• استفاده از راهکارهای جلوگیری از انتشار اطلاعات بنر شامل برند، نسخه و نوع سیستم عامل و دیگر سامانه‌های مورد استفاده
• تعریف رکوردهای امنیتی مانند SPF, DMARC, DKIM در سرور DNS