安全的電子郵件服務器是任何組織中非常重要的資產之一。受損或不安全的電子郵件服務器可能會對企業的聲譽產生負面影響，并可能導致法律和財務問題。維護本地或私有云安全電子郵件服務器絕非易事。如果您的目標是安全的電子郵件服務器，則需要考慮許多不同的要點。組織中的 IT 工程師或管理員負責代表組織運行安全電子郵件服務器。為 MSP 工作的工程師負責代表其客戶維護安全的電子郵件服務器。

保護入站電子郵件流量

加密郵件服務器和加密電子郵件流量實際上是兩件不同的事情。安全的電子郵件服務器需要在傳輸過程中進行加密、對電子郵件進行加密以及對保存的電子郵件進行加密。

最終用戶端加密

PGP/MIME和S/MIME是端到端加密電子郵件的兩個選項。這兩個選項對電子郵件使用基于證書的加密，從它們來自最終用戶設備的那一刻起，直到它們在收件人的最終用戶設備上被接收。S/MIME 使用公鑰或非對稱加密以及電子郵件的數字證書。證書有助于驗證電子郵件發件人。

身份驗證憑據加密

需要 SMTP 提交身份驗證才能正確識別發件人并確保您的電子郵件服務器不會成為被第三方濫用的開放中繼。對于電子郵件傳輸中的加密，TLS 是事實上的標準。它可以而且應該用于保護 webmail、IMAP 和任何其他客戶端訪問協議的流量。

SMTP 服務

簡單郵件傳輸協議（或 SMTP）是大多數電子郵件客戶端用于將消息提交到電子郵件服務器以及電子郵件服務器在發送給指定用戶的途中從一個服務器發送/中繼消息到另一個服務器的首選協議。

以下是傳輸電子郵件時最常出現的安全問題：

• 未經授權訪問您的電子郵件和數據泄露
• 垃圾郵件和網絡釣魚
• 惡意軟件
• 拒絕服務攻擊

SSL（安全套接字層）是 Netscape 在 1995 年開發的一種加密協議，旨在提供增強的網絡通信安全性，它是 TLS（傳輸層安全性）的前身。由于目前所有 SSL 版本都存在大量已知和可利用的漏洞，因此不再建議將其用于生產環境。使用 TLS 保護傳輸是當前的事實標準：推薦的 TLS 版本是 1.1、1.2 以及最新和最安全的 1.3。

SSL/TLS 對電子郵件客戶端和電子郵件服務器之間以及電子郵件服務器之間的消息進行加密。如果加密的 SMTP 通信被惡意第三方記錄，該方將只會看到看似隨機的字符來替換電子郵件內容，這意味著您的聯系人和郵件數據仍然受到保護且無法讀取。

還支持稱為 Perfect Forward Secrecy 的 TLS 擴展，它是特定密鑰協商協議的一項功能，可確保即使會話密鑰交換中使用的長期機密被泄露，會話密鑰也不會被泄露。通俗地說，如果存儲在服務器上的私鑰丟失或被破壞，之前記錄的加密 SMTP 會話仍然無法破譯。

DNSBL 和 URIBL

域名系統黑名單 (DNSBL)或實時黑名單 (RBL) 本質上是一種服務，它提供已知域和 IP 地址的黑名單，這些域和 IP 地址被認為是垃圾郵件的來源。通常可以將郵件服務器軟件配置為檢查這些列表中的一個或多個。

DNSBL 更多的是一種軟件機制，而不是一個特定的列表。存在許多，它們使用可能列出或未列出地址的廣泛標準：列出用于發送垃圾郵件的機器的地址，已知互聯網服務提供商 (ISP) 托管垃圾郵件發送者等。

• Spamhaus DBL是一項將垃圾郵件中的域列入黑名單并被列為聲譽不佳的服務。
• URIBL 服務是檢測為發送垃圾郵件的域列表

DNSBL 服務器被列為垃圾郵件發送者，當您將服務器定義為一臺服務器時，來自此類服務器的電子郵件將被自動丟棄。

SPF、DKIM 和 DMARC

SPF（發件人策略框架）是一個 DNS TXT 條目，其中包含一個服務器列表，這些服務器應被視為已被允許代表特定域發送郵件。作為一個 DNS 條目可以被認為是一種強制執行條目列表對于域是可信的事實的方式，因為唯一允許添加或更改該域區域的人是域的所有者或管理員。

DKIM（DomainKeys Identified Mail）是一種驗證郵件內容是否可信的方法，表明從郵件離開初始郵件服務器到到達目的地的那一刻，內容沒有被修改。這個額外的一致性層是通過使用標準的公鑰/私鑰簽名過程來實現的。在 SPF 的情況下，域的所有者或管理員添加包含公共 DKIM 密鑰的 DNS 記錄，接收者將使用該密鑰來驗證消息 DKIM 簽名是否正確，并且在發送方的事情上，服務器將使用與 DNS 記錄中存在的公鑰對應的私鑰對郵件消息進行簽名。

DMARC（基于域的消息身份驗證、報告和一致性）是一種使用 SPF 和 DKIM 來確定電子郵件消息是否真實的協議。從本質上講，它使 ISP 更容易防止惡意第三方執行諸如域欺騙之類的行為以獲取用戶私人信息的網絡釣魚。DMARC 規定了關于 SPF 和 DKIM 的明確政策，并允許設置一個地址，該地址應用于發送有關服務器發送的郵件消息的報告。所有接收服務器和客戶端都應使用此策略。

所有這些工具都嚴重依賴 DNS，在完成所有設置后它們的工作方式如下：

防曬指數

• 收到后，郵件服務器會檢索 HELO 消息和發件人的地址
• 郵件服務器根據郵件的域 SPF 條目獲取 TXT DNS 查詢
• 然后使用檢索到的 SPF 條目數據來驗證發送服務器
• 如果此檢查失敗，則郵件將被拒絕，并提供有關拒絕的信息

DKIM

• 在發送消息時，域基礎結構中的最后一個服務器檢查其內部設置，如果“發件人：”標頭中使用的域確實包含在其“簽名表”中。如果此檢查失敗，則一切都將在此處停止
• 通過使用消息內容的密鑰的私有部分生成簽名，將名為“DKIM-Signature”的標頭添加到消息標頭列表中
• 此后，無法修改郵件的主要內容，否則 DKIM-Signature 標頭將不再正確，身份驗證將失敗。
• 收到消息后，接收服務器將進行 DNS 查詢以檢索 DKIM 簽名中使用的公鑰
• 之后，可以使用 DKIM 標頭來確定消息是否在傳輸過程中更改或是否值得信賴

DMARC

• 接收后，接收服務器將檢查是否在 SPF 和/或 DKIM 檢查使用的域中發布了 DMARC 策略
• 如果一項或兩項 SPF / DKIM 檢查成功但與 DMARC 策略不一致，則認為檢查不成功，否則，如果它們也與 DMARC 策略一致，則檢查成功
• 失敗時，根據 DMARC 策略發布的操作，可以采取不同的操作

即使您擁有一個功能完善的系統，并且所有上述工具都設置并順利運行，您也不能 100% 安全，因為并非所有服務器都在使用這些工具。

內容過濾

內容過濾器允許您掃描和檢查傳入/傳出的消息，并根據結果自動采取相應的措施。諸如此類的服務主要掃描電子郵件的內容并確定內容是否與垃圾郵件過濾器匹配并阻止郵件到達收件箱。掃描還會查看圖像元數據和標題以及消息文本內容。

您可以集成任何第三方產品，只要它們具有 Milter 功能，甚至可以使用基于云的服務作為電子郵件服務器前的網關。需要注意的是，內容過濾更耗費資源，這就是為什么在到達內容過濾器之前實現過濾掉電子郵件的其他層也很重要的原因。

保護出站電子郵件流量

發送和接收限制

可以對您在電子郵件服務器上托管的用戶發送的消息應用限制。您可以控制消息整體的最大大小或消息各個部分的大小，甚至這兩者的大小。例如，您可以控制郵件標頭或其附件的最大大小，或者設置用戶可以添加到外發郵件的最大收件人數限制。 此外，更重要的是，作為管理員，您可以創建發送配額（有例外），以確保自動執行您的公平使用政策。

出站垃圾郵件保護

控制從您的電子郵件服務器發出的內容與了解收到的內容同樣重要。因此，制定掃描外發郵件和傳入郵件的策略很重要，因為它可以阻止某人發送垃圾郵件，從而吸引不需要的郵件對你的影響。

保護郵箱訪問

Webmail 兩因素身份驗證 (2FA)即使您可能使用 SSL/TLS，確保您的用戶帳戶安全也很重要，因為有時用戶密碼不是最強的。除了支持可配置的密碼策略這一事實之外，啟用雙重身份驗證可以極大地提高每個用戶的帳戶安全性，并保護他們的數據免受惡意第三方的侵害，否則他們可能會因為他們可能從其他服務獲得密碼而訪問他們的帳戶他們使用的是具有安全后門的。

SSL/TLS 監聽器

使用良好的 SSL 版本和密碼套件正確配置您的偵聽器非常重要。服務器附帶所有設置，我們建議您始終保持服務器最新，以確保您的 SSL 偵聽器是 A 級的。

IMAP 加密和認證推薦設置

使用啟用了 StartTLS 的加密連接是確保您和您的客戶數據受到保護并且無法被惡意第三方讀取的最佳方式。WebAdmin 允許控制郵件服務器的加密和身份驗證設置，您可以在此文檔頁面上查看配置 IMAP 的推薦設置。

防止暴力攻擊

蠻力攻擊是一種網絡攻擊，惡意第三方使用自動腳本嘗試不同的密碼和密碼，直到他們找到正確的組合來訪問帳戶或服務。它可能已經存在了很長時間，但它仍然很受歡迎，因為它對弱密碼非常有效，這就是為什么雙重身份驗證是用戶帳戶的一項重要功能。

Fail2Ban (Linux) 和 RDPGuard (Windows) 是入侵防御系統，可為郵件服務器的暴力攻擊添加保護。通過監視日志文件并阻止在郵件服務器管理員定義的短時間內執行過多登錄嘗試或過多連接的主機的 IP 地址。

防火墻

防火墻是關鍵且真正強制性的網絡級安全控制之一。防火墻應具有高級持續威脅分析功能，因為它們能夠檢測零日安全攻擊。運行入侵檢測系統 (IDS) 也是一種最佳實踐。需要電子郵件安全網關來屏蔽入站/出站電子郵件流量。防火墻過濾規則可用于拒絕/允許特定的電子郵件流量。這對于阻止服務器成為中繼并發送大量垃圾郵件很有用。包過濾規則有助于阻止 DDoS 和 DoS 攻擊。

結論

安全的電子郵件服務器本質上具有網絡和服務器級別的安全控制。配置和維護您自己的電子郵件服務器是一種標準做法。但是，一些組織選擇購買現成的電子郵件服務器軟件解決方案。如果您考慮此選項，則安全性應該是您的最高考慮因素。世界上任何地方都沒有完全安全的系統。但是，一些電子郵件軟件解決方案提供了涵蓋所有層安全性的綜合包，包括網絡和服務器級別。