1. Configurez soigneusement les options de relais de courrier pour éviter d’être un relais ouvert

Il est très important de configurer votre paramètre de relais de courrier pour qu’il soit très restrictif. Tous les serveurs de messagerie ont cette option, où vous pouvez spécifier les domaines ou les adresses IP pour lesquels votre serveur de messagerie transmettra le courrier. En d’autres termes, ce paramètre précise à qui votre protocole SMTP doit acheminer le courrier. Une mauvaise configuration de cette option peut vous nuire, car les spammeurs peuvent utiliser votre serveur de messagerie (et vos ressources réseau) comme passerelle pour spammer d’autres personnes, ce qui vous oblige à être mis sur liste noire.

2. Configurez l’authentification SMTP pour contrôler l’accès des utilisateurs

L’authentification SMTP oblige les personnes qui utilisent votre serveur à obtenir la permission d’envoyer du courrier en fournissant d’abord un nom d’utilisateur et un mot de passe. Cela permet d’éviter le relais ouvert et l’abus de votre serveur. S’ils sont configurés de la bonne façon, seuls les comptes connus peuvent utiliser le SMTP de vos serveurs pour envoyer des courriels. Cette configuration est fortement recommandée lorsque votre serveur de messagerie a une adresse IP routée.

3. Limitez les connexions pour protéger votre serveur contre les attaques DoS

Le nombre de connexions à votre serveur SMTP doit être limité. Ces paramètres dépendent des spécifications du matériel du serveur (mémoire, bande passante de la carte réseau, processeur, etc.) et de sa charge nominale par jour. Les principaux paramètres utilisés pour gérer les limites de connexion sont : le nombre total de connexions, le nombre total de connexions simultanées et le débit maximal de connexion. Pour maintenir des valeurs optimales pour ces paramètres, il peut être nécessaire de les peaufiner au fil du temps.

Cela pourrait être très utile pour atténuer les inondations de pourriels et les attaques DoS qui ciblent votre infrastructure réseau.

4. Activez le DNS inverse pour bloquer les faux expéditeurs

La plupart des systèmes de messagerie utilisent des recherches DNS pour vérifier l’existence du domaine de courriel de l’expéditeur avant d’accepter un message. Une recherche inversée est également une option intéressante pour lutter contre les faux expéditeurs de courrier. Une fois la recherche DNS inversée activée, votre SMTP vérifie que l’adresse IP de l’expéditeur correspond à la fois aux noms d’hôte et de domaine soumis par le client SMTP dans la commande EHLO/HELO.

Ceci est très utile pour bloquer les messages qui échouent au test de correspondance d’adresse.

5. Utilisez les serveurs DNSBL pour lutter contre l’abus des courriels entrants

L’une des configurations les plus importantes pour protéger votre serveur de messagerie est d’utiliser des listes noires basées sur le DNS. Vérifier si le domaine ou l’adresse IP de l’expéditeur est connu par les serveurs DNSBL du monde entier (p. ex., Spamhaus, etc.) pourrait réduire considérablement la quantité de pourriels reçus. L’activation de cette option et l’utilisation d’un nombre maximal de serveurs DNSBL réduiront considérablement l’impact des courriels entrants non sollicités.

Les serveurs DNSBL répertorient toutes les adresses IP et domaines connus des spammeurs à cette fin.

[cta id= »18654″]

6. Activez le FPS pour éviter les sources usurpées

Le cadre de politique de l’expéditeur (FPS) est une méthode utilisée pour prévenir l’usurpation d’adresses d’expéditeur. De nos jours, presque tous les courriels abusifs contiennent de fausses adresses d’expéditeur. La vérification SPF permet de s’assurer que l’ATM d’envoi est autorisé à envoyer du courrier au nom du nom de domaine de l’expéditeur. Lorsque SPF est activé sur votre serveur, l’enregistrement MX du serveur d’envoi (l’enregistrement DNS Mail Exchange) est validé avant la transmission du message.

7. Permettre à SURBL de vérifier le contenu du message

SURBL (Spam URI Real-time Block Lists) détecte les courriels indésirables basés sur des liens invalides ou malveillants dans un message. Le fait d’avoir un filtre SURBL aide à protéger les utilisateurs contre les logiciels malveillants et les attaques d’hameçonnage. À l’heure actuelle, tous les serveurs de messagerie ne prennent pas en charge SURBL. Mais si votre serveur de messagerie le supporte, son activation augmentera la sécurité de votre serveur, ainsi que la sécurité de l’ensemble de votre réseau, car plus de 50% des menaces à la sécurité Internet proviennent du contenu des courriels.

8. Tenir à jour des listes noires d’adresses IP locales pour bloquer les polluposteurs.

Il est très important d’avoir une liste noire d’adresses IP locales sur votre serveur de messagerie pour contrer les spammeurs spécifiques qui ne ciblent que vous. La tenue de la liste peut prendre des ressources et du temps, mais elle apporte une réelle valeur ajoutée. Le résultat est un moyen rapide et fiable d’empêcher les connexions Internet indésirables de gêner votre système de messagerie.

9. Chiffrer l’authentification POP3 et IMAP pour des raisons de protection de la vie privée

Les connexions POP3 et IMAP n’ont pas été construites à l’origine dans un souci de sécurité. Par conséquent, ils sont souvent utilisés sans authentification forte. Il s’agit d’une grande faiblesse, car les mots de passe des utilisateurs sont transmis en texte clair via votre serveur de messagerie, ce qui les rend facilement accessibles aux pirates informatiques et aux personnes malveillantes. SSLTLS est le moyen le plus connu et le plus simple de mettre en œuvre l’authentification forte; Il est largement utilisé et considéré comme suffisamment fiable.

10. Avoir au moins 2 enregistrements MX pour le basculement

C’est le dernier conseil, mais non le moindre. Avoir une configuration de basculement est très important pour la disponibilité. Avoir un enregistrement MX n’est jamais suffisant pour assurer un flux continu de courrier vers un domaine donné, c’est pourquoi il est fortement recommandé de configurer au moins 2 MX pour chaque domaine. Le premier est défini comme principal, et le secondaire est utilisé si le primaire tombe en panne pour une raison quelconque. Cette configuration se fait au niveau de la zone DNS.