1. Configurez les options de relais de courrier pour empêcher le relais ouvert
Il est important de configurer le paramètre de relais de courrier pour qu’il soit restrictif. Tous les serveurs de messagerie ont cette option pour spécifier quels domaines ou adresses IP agiront comme relais. Une mauvaise configuration de cette option peut faire en sorte que les spammeurs utilisent le serveur de messagerie et les ressources réseau comme passerelle pour spammer d’autres personnes. Le résultat final pourrait être une liste noire des domaines ou des adresses IP de l’organisation.
2. Configurez l’authentification SMTP pour contrôler l’accès des utilisateurs
L’authentification SMTP oblige les utilisateurs du serveur de messagerie à obtenir la permission d’envoyer des courriels en entrant leur nom d’utilisateur et leur mot de passe. Cela permet d’éviter le relais ouvert et l’abus du serveur de messagerie. Lorsqu’ils sont configurés correctement, seuls les comptes connus peuvent accéder au service SMTP du serveur. Cette configuration est recommandée lorsque votre serveur de messagerie a une adresse IP routée.
3. Limitez les connexions pour contrecarrer les attaques DoS
Limitez le nombre de connexions au serveur SMTP. Ces paramètres dépendent des spécifications du matériel du serveur (mémoire, bande passante de la carte réseau, processeur, etc.) et de sa charge nominale par jour. Les principaux paramètres utilisés pour gérer les limites de connexion sont les suivants :
- Nombre total de connexions
- Nombre total de connexions simultanées
- Débit de raccordement maximal
Pour maintenir des valeurs optimales pour ces paramètres, il peut être nécessaire de les affiner au fil du temps. Cela est utile pour atténuer les inondations de pourriels et les attaques DoS qui ciblent votre infrastructure réseau.
4. Activez le DNS inverse pour bloquer les faux expéditeurs
La plupart des systèmes de messagerie utilisent des recherches DNS pour vérifier l’existence du domaine de courriel d’un expéditeur avant d’accepter le message. C’est une option intéressante pour lutter contre les faux expéditeurs de courrier. Une fois la recherche DNS inversée activée, votre SMTP vérifie que l’adresse IP de l’expéditeur correspond à la fois aux noms d’hôte et de domaine soumis par le client SMTP dans la commande EHLO/HELO. Ceci est utile pour bloquer les messages qui échouent au test de correspondance d’adresse.
5. Utilisez les listes noires des systèmes de noms de domaine (DNSBL) pour bloquer les polluposteurs
L’une des configurations les plus importantes pour protéger votre serveur de messagerie est d’utiliser des listes noires basées sur le DNS. DNSBL vérifie si le domaine ou l’adresse IP de l’expéditeur est connu, par exemple, Spamhaus. L’activation de cette option et l’utilisation du nombre maximal de serveurs DNSBL réduisent le nombre de courriels entrants non sollicités. DNSBL contient toutes les adresses IP et tous les domaines connus des spammeurs à cette fin.
6. Activer le cadre stratégique de l’expéditeur (FPS) pour inhiber les sources usurpées
SPF est une méthode utilisée pour empêcher les adresses d’expéditeur falsifiées. Presque tous les courriels d’hameçonnage utilisent de fausses adresses d’expéditeur. Le FCP vérifie que l’agent de transfert de courrier émetteur (ATM) est autorisé à envoyer du courrier au nom du nom de domaine de l’expéditeur. Lorsque SPF est activé sur le serveur, l’enregistrement de l’échangeur de courrier (MX) du serveur émetteur (l’enregistrement DNS Mail Exchange) est validé avant la transmission du message.
7. Activez les listes de blocage en temps réel de l’URI des pourriels (SURBL) pour vérifier le contenu des messages
SURBL détecte les courriels indésirables basés sur des liens invalides ou malveillants dans un message. Le fait d’avoir un filtre SURBL aide à protéger les utilisateurs contre les logiciels malveillants et les attaques d’hameçonnage. À l’heure actuelle, tous les serveurs de messagerie ne prennent pas en charge SURBL. Si le serveur de messagerie le prend en charge, son activation augmentera la sécurité du serveur, ainsi que la sécurité de l’ensemble du réseau.
8. Maintenez une liste noire d’adresses IP locales pour bloquer les polluposteurs
Avoir une liste noire d’adresses IP locales sur le serveur de messagerie est une défense importante pour contrer les spammeurs qui ne ciblent qu’une organisation spécifique. La tenue de la liste nécessite des ressources et du temps, mais le résultat est un moyen rapide et fiable d’empêcher les spammeurs d’encombrer le serveur de messagerie.
9. Chiffrer l’authentification POP3 et IMAP pour des raisons de confidentialité
Les connexions POP3 et IMAP n’ont pas été construites à l’origine dans un souci de sécurité. Par conséquent, ils sont souvent utilisés sans authentification forte. Il s’agit d’une faiblesse importante, car les mots de passe des utilisateurs sont transmis en texte clair via le serveur de messagerie, ce qui les rend facilement accessibles aux pirates. Transport Layer Security (TLS) et Secure Sockets Layer (SSL) peuvent être utilisés pour chiffrer les connexions entre les serveurs.
10. Utiliser au moins deux enregistrements d’échangeur de courrier (enregistrements MX) pour le basculement
Avoir une configuration de basculement est important pour la disponibilité. Un enregistrement MX n’est jamais suffisant pour assurer un flux continu de courrier vers un domaine donné. Le premier est défini comme primaire, et le deuxième record est utilisé si le primaire tombe. Cette configuration se fait au niveau de la zone DNS.
11. Ajoutez un filtre anti-pourriel
Les pourriels ne font qu’encombrer les boîtes aux lettres et l’hameçonnage constitue une menace pour la sécurité de l’organisation. Un bon filtre devrait empêcher la plupart des pourriels d’atteindre les boîtes de réception. Les pourriels et les courriels d’hameçonnage évoluent constamment, de sorte que le service doit être mis à jour fréquemment pour une protection continue.
