Mail server hardening guide
با توجه به آسیبشناساییهای انجام شده در حملات سایبری اخیر، ضرورت رعایت تمهیدات امنیتی زیر در سرویس پست الکترونیک الزامی می باشد:
• عدم ارسال اطلاعات دارای طبقهبندی از طریق پست الکترونیک
• انتقال امن اطلاعات موجود در سرور پست الکترونیک به محیط محافظت شده در شبکه داخلی به صورت دورهای
• حذف اطلاعات و فایلهای غیرلازم از سرویسهای پست الکترونیک
• گزارش دریافت اطلاعات دارای طبقهبندی از بستر پست الکترونیک به مراجع ذیصلاح سازمان
• عدم استفاده از بستر پست الکترونیک برای آرشیو یا بستر اشتراکگذاری اطلاعات
• عدم واگذاری نامکاربری و رمز عبور پست الکترونیک به دیگران
• تغییر دورهای رمزهای عبور کاربران با رعایت سیاستهای امنیتی نظیر پیچیدگی رمز عبور
• تست نفوذ دورهای و ارزیابی امنیتی مستمر سرویس پست الکترونیک و تجهیزات مرتبط
• محدودسازی حجم و پسوند مجاز برای فایلهای ضمیمه پست الکترونیک
• غیرفعالسازی حسابهای کاربری بلااستفاده
• استفاده از قابلیتهای امنیتی سرویس پست الکترونیک نظیر Anti-Phishing، Anti-Spamming، Reverse DNS و مسدودسازی Open Relay
• غیرفعالسازی ماژولهای غیرضروری سرویس پست الکترونیک
• غیرفعالسازی امکان اجرای فرمانهای خطرناک و غیرضرور سیستمی در سرویس پست الکترونیک مانند EXPN و VRFY
• حذف یا غیرفعالسازی نامهای کاربری پیشفرض که در زمان نصب سرویس پست الکترونیک ایجاد شدهاند.
• بهروزرسانی مستمر نرمافزارهای پست الکترونیک
• بهروزرسانی مستمر آنتیویروس سرورها و کلاینتها از مخازن معتبر محلی
• تهیه منظم نسخههای پشتیبان و نگهداری آنها در محلی مجزا و امن
• تست صحت و جامعیت آخرین نسخههای پشتیبان در محیط آزمایشی مناسب
• استفاده از مکانیزم احراز هویت دو عامله برای دسترسی به سرویس پست الکترونیک
• محدودیت در تعداد کاربران Admin و اطمینان از رعایت سیاستهای امنیتی مربوط به رمز عبور آنها
• جلوگیری از اتصال نرمافزارهای جانبی مانند Outlook به سرویس پست الکترونیک برای دریافت و ارسال ایمیل
• مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی به خصوص سرور پست الکترونیک
• پایش مستمر لاگ سرور پست الکترونیک در سامانه مدیریت رویدادهای امنیتی
• قرارگیری سرور پست الکترونیک در ناحیه امن و محافظت شده در شبکه
• غیرفعالسازی تمامی پورتها و سرویسهای غیرضروری
• بازبینی قواعد دیواره آتش و اطمینان از اعمال سیاستهای استاندارد امنیتی
• حتیالامکان دسترسی به سرویس پست الکترونیک به دسترسی داخل کشور (Iran Access) را محدود کنیم و در صورت ضرورت از راهکارهای تایید شده مانند VPN برای ارتباطات خارج از کشور استفاده کنیم.
• استفاده از پروتکلهای بهروز SSL و TLS برای دسترسی به سرویس پست الکترونیک و اطمینان از حفاظت کافی کلیدهای خصوصی در امضای پیامها
• عدم نصب برنامههای جانبی به جز سرویس پست الکترونیک روی سرور
• استفاده از NTP Server داخلی
• استفاده از راهکارهای جلوگیری از انتشار اطلاعات بنر شامل برند، نسخه و نوع سیستم عامل و دیگر سامانههای مورد استفاده
• تعریف رکوردهای امنیتی مانند SPF, DMARC, DKIM در سرور DNS