Serverul de e-mail

Acest articol își dorește a fi un ghid care să conțină cele mai bune practici la instalarea, configurarea sau întreținerea unui server de e-mail propriu.

Nu de puține ori dorim ca căsuțele de e-mail de la firmă să fie găzduite pe propriul server de e-mail. Acest lucru poate avea mai multe cauze mai mult sau mau puțin obective: serviciile de găzduire sunt prea scumpe, informațiile tranzitate sunt sensibile/cu caracter confidențial, vrem să avem control deplin asupra informațiilor tranzitate prin serverul de e-mail sau pur și simplu dorim să plătim niște bani în plus pentru un Exchange server sau SBS.

1. Firewall. Dacă nu putem să punem serverul de e-mail într-un DMZ este bine cel puțin să configurăm un firewall pentru acesta. Presupunem că un atacator vrea să fure informațiile de pe serverul de e-mail. Acesta încearcă să-l atace și nu reușește. Îl scanează și vede că pe acesta mai rulează încă niște servicii. Dacă firewall-ul sau IDS/IPS-ul  îl oprește atunci se va lăsa păgubaș.
2. Filtru anti-virus și anti-spam. Pur și simplu nu pot percepe ca un server de e-mail din zilele noastre să nu scaneze email-urile de viruși/spam. Domeniul este foarte vast, este greu să vă spun care soluție să o implementați, care e mai bună și care nu. Puteți alege soluții libere(SpamAssassin și ClamAV) sau chiar soluții comerciale.
3. Blocarea portului 25 în rețea. Este în general un lucru bun ca din rețeaua locală să poată fi accesat doar serverul de e-mail propriu. Se întâmplă în ultima vreme destul de des ca cel puțin o stație din rețea să se viruseze și să trimită mesaje de tip spam pe internet. Filtrele anti-spam ar lua-o razna în primul rând datorită faptului că IP-ul(IP-urile) rețelei firmei intră în RBL-uri. Dacă aveți angajați care solicită acces la portul 25 înseamnă că aceștia vor să folosească alt server de e-mail, poate unul personal și va trebui să vă gândiți la seriozitatea acelui angajat. O altă posibilitate este ca routerul să facă DNAT pentru portul 25 către propriul server de e-mail.
4. STARTTLS. Este bine ca serverul nostru de e-mail să comunice criptat cel puțin cu acele servere de e-mail cu care poate. Există servere de e-mail care nu suportă acest mod de comunicare. Pentru a verifica acest lucru folosim comanda telnet

   server:~# telnet localhost 25
   Trying 127.0.0.1...
   Connected to localhost.
   Escape character is '^]'.
   220 localhost ESMTP Postfix (Debian/GNU)
   EHLO mail
   250-localhost
   250-PIPELINING
   250-SIZE 10240000
   250-VRFY
   250-ETRN
   250-STARTTLS
   250-AUTH LOGIN PLAIN
   250-AUTH=LOGIN PLAIN
   250-ENHANCEDSTATUSCODES
   250-8BITMIME
   250 DSN
   QUIT
   221 2.0.0 Bye
   Connection closed by foreign host.

   Observăm că la comanda EHLO că serverul de e-mail răspunde cu 250-STARTTLS

5. IMAPs/POP3s. Este recomandat ca serviciile POP3 și IMAP să funcționeze criptat. Chiar dacă cineva încearcă prin Internet să intercepteze comunicația aceasta este criptată și îi este cel puțin mai greu să intercepteze ceva.
6. HTTPS pentru webmail. Povestea e aceeași ca la punctul anterior. Dacă tot veni vorba de webmail feriți-vă de Squirrelmail, este mai degrabă o interfață de citit e-mail-ul decât un webmail.
7. Luați în considerare existența unui VPN. Uneori citirea e-mailurilor este mai sigură dacă se întâmplă printr-un VPN. În felul acesta serviciile POP3/IMAP pot fi închise publicului larg. În materie de VPN evitați folosirea VPN-ului de tip pptp, deși configurarea este foarte ușoară pot apărea diverse probleme, de securitate sau chiar de funcționalitate, de exemplu este posibil ca de pe unele rețele wireless să nu funcționeze.
8. Software-ul trebuie întreținut! Dacă aveți personal dedicat angajat în vederea  întreținerii hardware/software a rețelei este bine ca acel om să întrețină și serverul de e-mail, adică să-l actualizeze, să-l monitorizeze(o simplă verificare zilnică), să primească mesajele de sistem. Dacă nu, apelați la o firmă care să facă asta pentru dumneavoastră.

În final v-aș recomanda să folosiți un server de e-mail bazat pe linux, acestea necesită mult mai puține cheltuieli de instalare și întreținere și se dovedesc a fi mult mai fiabile. Dacă-mi scapă ceva vă invit să comentați.

Sursa imaginii aici.

Comentarii

3 comentarii la aricolul: „Serverul de e-mail”

cgherman
1 februarie 2010, 20:02


cred ca o solutie utila pentru un server de email e iRedMail. Pe howtoforge sunt mai multe tutoriale. de ex: http://howtoforge.com/iredmail-mail-server-with-ldap-postfix-roundcube-squirrelmail-dovecot-clamav-spamassassin-amavisd-debian-5.0.1
cgherman a scris pe blog ultima dată KDE 4.3.5 MIB

marius
2 februarie 2010, 13:02


linuxu este cel mai bun pentru servere ai o siguranta in + fata de windows
marius a scris pe blog ultima dată The house of the Devil 2009

Sergiu Tot
22 februarie 2010, 11:02


As adauga ca e absolut necesara implementarea DomainKeys de la bun inceput, altfel vor fi probleme de livrare pe Yahoo si alte cateva domenii.
Sergiu Tot a scris pe blog ultima dată Restore backup MySQL

Numele tău (necesar)

Adresa de e-mail (necesară)

Pagina WEB

Părerea ta:

Te rog să comentezi doar dacă ai ceva de spus!
Comentariile de genul „Foarte tare, o să incerc și eu”
vor fi marcate ca SPAM iar mai apoi șterse.
Îmi rezerv dreptul de a șterge orice comentariu îl consider inadecvat.
Deasemena nu accept comentarii care la nume au cuvinte cheie!

Actiovează plugin-ul CommentLuv

Authenticate this comment using OpenID.

Vreau sa primesc pe e-mail următoarele comentarii.