随着网络威胁的发展,我们面临着日益严峻的电子邮件安全挑战。 随着用户继续陷入电子邮件诈骗,黑客和网络犯罪分子继续无情地攻击企业。 这就是为什么我们必须继续了解保护电子邮件安全的最佳实践。
电子邮件安全非常复杂,涉及的不仅仅是简单的垃圾邮件过滤。 任何电子邮件服务器或安全电子邮件网关都必须包含各种工具来阻止最新的电子邮件威胁。 这些工具必须能够检测垃圾邮件、网络钓鱼、欺骗、恶意软件等。
以下是我们的 9 条重要建议,可帮助企业避免成为电子邮件威胁的受害者
几乎所有邮件服务器和安全电子邮件网关都内置某种形式的垃圾邮件过滤功能。 大多数依赖于评分系统,该系统分析入站电子邮件是否存在类似垃圾邮件的特征,并评估每封电子邮件的评分值。 许多电子邮件安全产品使用行业标准 SpamAssassin 来执行这些任务。 在 MDaemon 和 SecurityGateway 中,管理员可以调整垃圾邮件分数阈值,使垃圾邮件过滤器更积极地阻止垃圾邮件。
以下是 MDaemon 垃圾邮件评分设置的示例,可以通过导航至垃圾邮件过滤器 | 找到该设置。 MDaemon Remote Administration 中的过滤器设置。
Spamhaus等DNS-Blocklist服务维护着一个已知的转发垃圾邮件的服务器数据库。包括DNS-BL查找服务的邮件服务器和网关可以将电子邮件的发送服务器与该数据库进行比较,如果邮件是从这些邮件服务器之一发送的,则为邮件的垃圾邮件评分添加点数。
在MDaemon远程管理中,DNS-BL设置位于垃圾邮件过滤器| DNS-BL下。在SecurityGateway中,它们位于安全|反垃圾邮件|启发式和贝叶斯下。
与 DNS-BL 服务类似,URI-BL 服务包含恶意 URL 数据库。 将入站电子邮件中找到的 URL 与这些服务维护的数据库进行比较。 由于垃圾邮件和网络钓鱼电子邮件通常包含由黑客控制的恶意网站的链接,URI-BL 服务有助于保护用户免受这些威胁。
下面是SecurityGateway中URI- bl设置的一个例子,它可以通过导航到Security |反垃圾| URI黑名单(URIBL)找到。
垃圾邮件是一个全球性的问题,所以保护你的业务的另一种方法是使用地理阻塞或位置筛选来阻止来自与你没有合法业务的国家的电子邮件。阻止来自特定地区的电子邮件可以减少惊人的垃圾邮件数量。
在SecurityGateway中,位置筛选设置位于Security | Anti-Abuse |位置筛选之下。
通常,垃圾邮件发送者会利用有效的发件人收件人伪造出站垃圾邮件的返回路径,以将垃圾邮件路由出去,这样他们就不必处理当该邮件发送到无效电子邮件地址时接收邮件服务器生成的退回邮件。 这可能会导致大量未送达 (NDR) 和不在办公室的自动回复邮件被发送到伪造的地址。 这称为反向散射,可以通过反向散射保护来防止。 反向散射保护的工作原理是在所有出站消息的返回路径地址中插入唯一的代码。 反向散射保护将检查所有邮件发件人地址为“mailer-deamon@”或 NULL 反向路径(无返回路径值)的电子邮件,以确保关联的 RCPT TO 值(收件人地址)包含在邮件服务器上生成的反向散射保护代码。 如果 RCPT TO 值中不存在此类代码,则邮件服务器知道它没有生成退回邮件所引用的原始电子邮件,并将拒绝接受该邮件。
SecurityGateway 中的反向散射保护设置位于“安全”|“安全”下。 反垃圾邮件 | 反向散射保护。
垃圾邮件发送者经常尝试向尽可能多的收件人发送垃圾电子邮件。 为了阻止此类活动,MDaemon 和 SecurityGateway 都有一项称为缓送的功能。 一旦从邮件发件人处收到指定数量的收件人(RCPT 命令),缓送技术使您可以故意减慢连接速度。 这是为了阻止垃圾邮件发送者尝试使用您的服务器发送未经请求的批量电子邮件。
随着不良行为者不断改变其策略来阻止检测,垃圾邮件过滤器必须不断发展以跟上最新的威胁。 防范新出现的垃圾邮件变体的一种方法是定期更新垃圾邮件过滤器。 确保您使用的是最新版本的邮件服务器或安全电子邮件网关,如果您的服务器或网关使用 SpamAssassin 或其他反垃圾邮件服务,请确保将其配置为定期检查垃圾邮件过滤器更新。 MDaemon 和 SecurityGateway 都具有自动检查垃圾邮件过滤器更新的设置。
如果您的邮件服务器或网关支持称为贝叶斯分类的功能,您可以通过向垃圾邮件过滤器提供垃圾邮件(误报)和非垃圾邮件(误报)消息样本来训练垃圾邮件过滤器,以提高其准确性。 贝叶斯分类使用人工智能分析传入电子邮件,以确定它们是垃圾邮件的可能性,并且通过向贝叶斯学习系统提供更多垃圾邮件和非垃圾邮件样本,您可以训练垃圾邮件过滤器以满足特定业务环境的需求,从而减少用户收件箱中的垃圾邮件和误报。
扫描电子邮件中的病毒非常重要,因为电子邮件是传播病毒、恶意软件和其他恶意文件的最常见方式之一。 恶意电子邮件附件可能会在您打开设备后立即感染您的设备,从而使病毒传播到网络上的其他设备、窃取您的个人信息或对您的系统造成其他损害。
电子邮件病毒扫描可以在恶意电子邮件到达用户收件箱之前检测和阻止它们,从而帮助保护您的设备和数据。 这是通过分析传入电子邮件和附件的内容以查找恶意软件迹象并隔离或删除任何被识别为威胁的内容来完成的。
SecurityGateway 中包含防病毒功能,并且可以作为 MDaemon 的许可功能进行购买。
垃圾邮件发送者经常使用社会工程策略来诱骗人们启用 Microsoft Office 宏。 他们可能会将宏伪装成重要或紧急的事情,例如安全更新,或者他们可能使宏看起来无害,例如笑话或谜题。 但是,一旦启用宏,它就可以执行恶意操作,例如下载恶意软件或从用户设备窃取敏感信息。
在启用任何宏之前,最好验证电子邮件的来源和附件的真实性。
MDaemon AntiVirus 和 SecurityGateway 都有一个设置来标记包含宏的附件并将其发送到管理隔离区以供进一步审查。
通过要求用户使用 SMTP 身份验证来确保所有邮件会话都通过用户名和密码进行身份验证,从而保护您的用户免受黑客攻击。
网络犯罪分子使用复杂的工具来破解看似复杂的密码,因此请务必使用包含大小写字母、数字和符号的复杂且难以猜测的密码。
此外,不允许用户使用在数据泄露中发现的任何密码。 MDaemon 和 SecurityGateway 都可以选择防止使用泄露的密码。
双因素身份验证 (2FA) 是一种安全过程,要求用户在访问帐户或系统之前提供两种形式的身份验证。 这有助于在传统用户名和密码之外提供额外的保护层,使未经授权的用户更难以访问敏感信息。
在 SecurityGateway 中,双因素身份验证设置位于“用户选项”屏幕下,而在 MDaemon Remote Administration 中,它们位于“帐户模板”|“帐户模板”下。 Web 服务,以及每个单独帐户内的“Web 服务”屏幕下。 最终用户可以通过 MDaemon Webmail 中的安全菜单启用双因素身份验证。
POP Before SMTP 是一项安全功能,要求用户在允许发送出站邮件之前首先检查新邮件。 这对于无法使用传统 SMTP 身份验证的电子邮件客户端非常有用。
为了避免被列入阻止列表,请确保您的软件不允许开放中继,当通过您的系统传递既不是本地帐户也不是来自本地帐户的电子邮件时,就会发生这种情况。
黑客使用各种策略来尝试闯入网络和电子邮件服务器。 大多数邮件服务器和安全电子邮件网关都有工具来帮助阻止这些活动。
为了防止黑客试图滥用您的系统,请使用动态筛选来跟踪和阻止无效的登录尝试。 有关推荐的 MDaemon 动态筛选设置的更多信息,请参阅此知识库文章。
黑客可能会尝试尽可能长时间地保持连接开放,同时尝试多种策略来闯入系统。 MDaemon 和 SecurityGateway 都具有称为 SMTP 屏蔽的功能,可以检测并阻止此类活动。
电子邮件帐户被劫持可能会给企业带来各种令人头疼的问题。 如果帐户受到威胁并开始发送垃圾邮件,MDaemon 和 SecurityGateway 都可以使用帐户劫持检测来检测此类活动。 启用此功能后,在短时间内从某个帐户发送给定数量的电子邮件后,该帐户将被禁用,并通知管理员以便采取纠正措施(例如更改帐户密码或要求双重身份验证)。
IP 屏蔽是一种反欺骗、反滥用功能,允许管理员分配授权的 IP 地址,来自特定域的电子邮件必须从该地址发送才能被接受发送。 这有助于防止您的域被欺骗。 使用 SMTP 身份验证的连接或来自受信任邮件服务器的连接可以例外。 IP 屏蔽的另一个用途是网络打印机或其他无法使用 SMTP 身份验证的设备代表您的域合法发送邮件的情况。 IP 屏蔽与这些设备的 SMTP 身份验证例外相结合,为无法使用传统电子邮件身份验证方法的电子邮件发送设备提供了一种解决方法。
欲了解更多信息,请参阅:
MDaemon 中的 IP 筛选功能允许您指定不允许连接到您的邮件服务器的 IP 地址。 已知会发送垃圾邮件或恶意软件的 IP 地址可以添加到 IP 屏蔽列表中。
SPF 用于定义控制允许哪些服务器发送声称来自某个域的电子邮件的策略。 MDaemon 和 SecurityGateway 都可以配置为查找入站电子邮件中使用的发送域的 SPF 记录。 这有助于防止欺骗,并具有阻止更多垃圾邮件的额外好处。 有关在 MDaemon 中配置 SPF 的说明,请参阅这篇知识文章。
DKIM 使用一对密钥来验证域的电子邮件。 公钥将发布到 DNS,所有出站邮件均使用相应的 DKIM 私钥进行签名。 当邮件服务器或网关收到 DKIM 签名的邮件时,它会查找发布到 DNS 的发送域的公钥,并将其与 DKIM 签名中找到的密钥进行比较。 如果密钥不匹配,则消息可能在传递过程中被欺骗或更改。 DKIM 的工作原理是提供签名者身份的可靠识别以及消息内容的加密“哈希”。
DMARC 是一个系统,允许域所有者指定接收服务器或网关在未通过 DKIM 和 SPF 时如何处理声称来自其域的邮件。 DMARC 还允许域所有者接收有关其域如何使用的报告,以帮助进一步增强安全策略。
有关为 MDaemon 配置 DMARC 的更多信息,请参阅此知识库文章。
要详细了解 SPF、DKIM 和 DMARC 如何防止企业遭受欺骗,请观看我们的概述视频:DKIM、SPF 和 DMARC 如何防止电子邮件欺骗。
欺骗性电子邮件看起来非常真实,常常欺骗训练有素的眼睛。 为了帮助用户识别可疑电子邮件,可以使用 MDaemon 中的内容过滤器将警告标头添加到从外部来源发送的电子邮件的顶部。
发件人标题筛选有助于揭露试图欺骗用户,使其误以为邮件来自合法来源的欺骗邮件。启用该功能后,"发件人 "标头会被修改为实际的发送电子邮件地址。例如
收到一封在发件人标头中欺骗 "合法用户 "的垃圾邮件,其发件人标头如下。
From: "Legit User"
To: "User01"
Subject: From Header Screening
在本例中,Outlook 的 "邮件列表 "视图仅在显示名称存在时才会显示。显示名称是标题中引号之间的文本。spammer@spam.com 地址不会显示。
启用 "将电子邮件地址添加到显示名称 "后,上面的 "发件人 "标题将被修改为下面的标题。
From: "Legit User (spammer@spam.com)"
有关详细信息,请参阅以下知识库文章:
SSL(安全套接字层)和 TLS(传输层安全)是加密客户端与服务器之间通信的行业标准。MDaemon 和 SecurityGateway 均可配置为通过 SSL 和 TLS 发送邮件,MDaemon Webmail、MDaemon 远程管理和 SecurityGateway 的 Web 界面也可配置为使用安全 HTTPS 连接。
有关详细信息,请参阅以下知识库文章:
MDaemon 包括通过 OpenPGP 进行的电子邮件加密。SSL 和 TLS 对邮件客户端与服务器之间或邮件服务器与网关之间的连接进行加密,而 OpenPGP 则使用公共加密密钥对实际邮件信息进行加密。只有使用相应的私人密钥才能解密邮件。
除新功能外,软件更新通常还包含重要的安全补丁和修复。请确保您运行的是最新版本的 MDaemon 和 SecurityGateway,以保证您的安全是最新的。
在 MDaemon 远程管理中,软件更新设置位于设置 | 首选项 | 更新下。
在 SecurityGateway 中,软件更新设置位于设置/用户 | 软件更新下。
电子邮件安全依赖于多种功能才能完全有效。遵循这些最佳实践有助于保护您的企业免受电子邮件带来的威胁。