Si un servidor de correo electrónico es objeto de un ataque, no sólo su empresa pierde productividad, también puede ser demandada por la fuga de datos confidenciales.
A menudo se exige a las empresas que alojen sus propios servidores de correo electrónico en aras de la conformidad y la practicidad, en lugar de utilizar uno de los muchos servicios de correo electrónico de terceros que suelen ofrecer los proveedores de servicios de Internet.
Afortunadamente, existen algunas prácticas básicas para configurar su servidor de correo electrónico de manera más segura, lo que debería reducir significativamente su riesgo. Esta no es una guía completa para la configuración segura del correo electrónico, y su empresa puede estar sujeta a normas de cumplimiento que no se tratan aquí, dependiendo de su industria. Pero este es un excelente punto de partida. A veces, incluso los profesionales de TI más experimentados se olvidan de lo básico.
1. Configure las opciones de retransmisión de correo con cuidado para evitar ser una retransmisión abierta
Es muy importante configurar el parámetro de retransmisión de correo para que sea muy restrictivo. Todos los servidores de correo tienen esta opción, en la que puedes especificar para qué dominios o direcciones IP tu servidor de correo retransmitirá el correo. En otras palabras, este parámetro especifica para quién debe reenviar el correo el protocolo SMTP. Una mala configuración de esta opción puede perjudicarle porque los spammers pueden utilizar su servidor de correo (y los recursos de la red) como puerta de entrada para enviar spam a otros, lo que le llevará a la lista negra.
2. Configurar la autenticación SMTP para controlar el acceso de los usuarios
La autenticación SMTP obliga a las personas que utilizan su servidor a obtener permiso para enviar correo, suministrando primero un nombre de usuario y una contraseña. Esto ayuda a prevenir la retransmisión abierta y el abuso de su servidor. Si se configura de la manera correcta, sólo las cuentas conocidas pueden usar el SMTP de sus servidores para enviar correo electrónico. Esta configuración es altamente recomendada cuando su servidor de correo tiene una dirección IP enrutada.
3. Limite las conexiones para proteger su servidor contra ataques DDoS
El número de conexiones a su servidor SMTP debería ser limitado. Estos parámetros dependen de las especificaciones del hardware del servidor (memoria, ancho de banda de NIC, CPU, etc.) y de su carga nominal por día. Los principales parámetros que se utilizan para manejar los límites de conexión incluyen: número total de conexiones, número total de conexiones simultáneas y velocidad máxima de conexión. Para mantener los valores óptimos de estos parámetros puede ser necesario perfeccionarlos a lo largo del tiempo.
Esto podría ser muy útil para mitigar las inundaciones de spam y los ataques de DDoS que tienen como objetivo la infraestructura de su red.
4. Activar el DNS inverso para bloquear los remitentes falsos
La mayoría de los sistemas de mensajería utilizan búsquedas DNS para verificar la existencia del dominio de correo electrónico del remitente antes de aceptar un mensaje. Una búsqueda inversa es también una opción interesante para luchar contra los falsos remitentes de correo. Una vez que la búsqueda inversa de DNS está activada, su SMTP verifica que la dirección IP del remitente coincida con los nombres de host y de dominio que fueron enviados por el cliente SMTP en el comando EHLO/HELO.
Esto es muy valioso para bloquear los mensajes que fallan en la prueba de coincidencia de direcciones.
5. Usar servidores DNSBL para combatir el abuso de correo electrónico entrante
Una de las configuraciones más importantes para proteger su servidor de correo electrónico es utilizar listas negras basadas en DNS. Comprobar si el dominio o la IP del remitente es conocido por los servidores DNSBL en todo el mundo (por ejemplo, Spamhaus, etc.), podría reducir sustancialmente la cantidad de spam recibido. Activar esta opción y utilizar un número máximo de servidores DNSBL reducirá en gran medida el impacto del correo electrónico entrante no solicitado.
6. Activar el SPF para evitar fuentes falsas
El Marco de Políticas de Remitentes (SPF) es un método utilizado para prevenir las direcciones de remitentes falsas. Hoy en día, casi todos los mensajes de correo electrónico abusivos llevan direcciones de remitente falsas. El control del SPF asegura que el MTA remitente está autorizado a enviar correo en nombre del nombre de dominio del remitente. Cuando se activa el SPF en su servidor, el registro MX de los servidores de envío (el registro de intercambio de correo del DNS) se valida antes de que se produzca la transmisión del mensaje.
7. Habilitar SURBL para verificar el contenido del mensaje
SURBL (Spam URI Real-time Block Lists) detecta el correo electrónico no deseado basado en enlaces inválidos o maliciosos dentro de un mensaje. Tener un filtro SURBL ayuda a proteger a los usuarios de los ataques de malware y phishing. En la actualidad, no todos los servidores de correo electrónico son compatibles con SURBL. Pero si su servidor de mensajería sí lo admite, al activarlo aumentará la seguridad de su servidor, así como la seguridad de toda su red, ya que más del 50% de las amenazas de seguridad en Internet provienen del contenido del correo electrónico.
8. Mantener listas negras de IP locales para bloquear a los spammers
Tener una lista negra de IP locales en su servidor de correo electrónico es muy importante para contrarrestar a los spammers específicos que sólo se dirigen a usted. El mantenimiento de la lista puede llevar recursos y tiempo, pero aporta un verdadero valor añadido. El resultado es una manera rápida y confiable de evitar que las conexiones de Internet no deseadas molesten su sistema de mensajería.
9. Cifrar la autenticación POP3 e IMAP por motivos de privacidad
Las conexiones POP3 e IMAP no fueron originalmente construidas con la seguridad en mente. Como resultado, a menudo se utilizan sin una autenticación fuerte. Esta es una gran debilidad ya que las contraseñas de los usuarios se transmiten en texto claro a través de su servidor de correo, lo que las hace fácilmente accesibles a los hackers y a las personas con intenciones maliciosas. SSL/TLS es la forma más conocida y fácil de implementar una autenticación fuerte; es ampliamente utilizada y considerada suficientemente fiable.
10. Tener al menos 2 registros MX para la conmutación por error
Este es el último, pero no menos importante, consejo. Tener una configuración de conmutación por error es muy importante para la disponibilidad. Tener un registro MX nunca es adecuado para asegurar un flujo continuo de correo a un dominio dado, por lo que se recomienda configurar al menos 2 MX para cada dominio. El primero se establece como el primario, y el secundario se utiliza si el primario se cae por cualquier razón. Esta configuración se hace a nivel de la zona DNS.
Imagen: Christina @ wocintechchat.com on Unsplash