Kerio Connect bezpieczeństwo serwera poczty cz.1

Wszystkich zainteresowanych tematem bezpieczeństwa serwerów pocztowych z pewnością zainteresuje informacja o zabezpieczeniach w jakie wyposażony jest serwer pocztowy Connect firmy Kerio. Chcielibyśmy przedstawić Wam rodzaje i po krótce opisać te zabezpieczenia. Z pewnością wiedza ta przyda się każdemu, kto chciałby przetestować to rozwiązanie u siebie.

Twórcy Kerio Connect pomyśleli o wielu funkcjonalnościach chroniących serwer pocztowy, w tej części opiszemy możliwości wynikające z odpowiedniej konfiguracji serwera SMTP, opowiemy o możliwościach jakie daje Kerio Connect w temacie tworzenia polityki silnych haseł i jak wygląda konfiguracja bezpiecznego uwierzytelniania.

Misconduct – czyli tzw. złymi praktyki dotyczącymi poczty e-mail, w zamyśle chodzi o zapewnienie ochrony przed nieodpowiednim wysyłaniem wiadomości. Chodzi o ograniczenie wielkości wysyłanych maili oraz ich ilości, ma to bezpośrednie przełożenie na pracę serwera pocztowego. Administratorzy posiadają odpowiednie narzędzia, dzięki którym mogą dokonać konfiguracji serwera SMTP.

Configuracja serwera SMTP w Kerio Connect daje możliwość definiowania, kto i w jaki sposób może wysyłać wiadomości za pomocą serwera Kerio. Kerio Connect umożliwia zabezpieczenie serwera SMTP przed wykorzystywaniem go przez spamerów do wysyłania za jego pośrednictwem niechcianych wiadomości przez co może on zostać dodany do czarnej listy. W Kerio Connect w konfiguracji serwera SMTP można między innymi dokonać ustawień:

– max numeru wysyłanych wiadomości w ciągu 1 godziny – Administrator może ustawić blokadę wysyłania większej ilości maili z jednego adresu IP,

– max numeru połączeń jakie trafiają do serwera SMTP, zapewni to ochronę serwera przed atakami typu DoS (Denial of Service), które są niczym innym jak zalaniem serwera ogromnymi ilościami danych, co powoduje jego spowolnienie lub całkowite zatrzymanie,

– max liczbę nieznanych odbiorców – chodzi o wyeliminowanie ataków typu Directory Harvest, które polegają na wysyłaniu do serwera poczty wielu maili w poszukiwaniu prawidłowych adresów mailowych, przykładowo spamer zna domenę ale nie zna całego adresu mailowego dlatego podstawia pierwszą część maila do @domena.pl i bada jednocześnie, czy dostaje zwrotną odpowiedź z serwera pocztowego ofiary.

Dodatkowo można dokonać zabezpieczających ustawień, typu:

– blokowanie maili, których domena nie została odnaleziona w DNS,

– blokowanie maili z dużą ilością odbiorców,

– blokowanie połączenia SMTP w przypadku pojawienia się wskazanej liczby nieudanych połączeń lub komend – w przypadku gdy hakerzy używają oprogramowania, które łączy się z serwerem SMTP ignorując raporty o błędach.

– opcja Caller ID i SPF (Sender Policy Framework) – umożliwia filtrowanie maili z fałszywymi adresami.

Ochrona przed nieautoryzowanym dostępem

Kerio Connect jako serwer narażony jest również na ataki związane z łamaniem haseł dostępowych. Administrator posiada kilka możliwości zabezpieczenia tego serwera przed kompromitacją kont. Po pierwsze ma on możliwość tworzenia Polityki silnych haseł. W tym konkretnym przykładzie może on wymusić tworzenia przez użytkowników haseł składających się z określonej ilości znaków, czy określonego rodzaju znaków. Kerio Connect ma możliwość generowania haseł dla użytkowników. Administrator może również ustawić wymuszanie zmiany haseł co określony czas. Może również powiadamiać użytkowników informacją o zbliżającym się wygaśnięciu hasła.

Jak wygląda konfiguracja bezpiecznego uwierzytelniania w Kerio Connect. Użytkownik aby otrzymać dostęp musi się uwierzytelnić, zgodnie z wcześniej wybraną metodą autentykacji, mamy tu do wyboru kilka metod, oto one:

– CRAM-MD5 – algorytm z dziedziny kryptografii

– DIGEST-MD5 – algorytm z dziedziny kryptografii

– NTLM – używana tylko z Active Directory

– SSL tunel jeśli nie wybrano żadnej z metod

Jest to wykorzystywane do zaszyfrowania połączenia pomiędzy klientem a serwerem (przykładowo między Outlookiem a serwerem, stroną internetową a serwerem) Powyższe metody autentykacji szyfrują dane użytkownika aby nic, co jest pomiędzy użytkownikiem a serwerem nie przechwyciło komunikacji związanej z uwierzytelnieniem (hasło lub login).

Kłopotliwe może być komunikowanie się urządzeń, które mogą nie mieć tak zaawansowanych metod uwierzytelniania dlatego nie będą mogły się skomunikować z serwerem poczty (drukarki, skanery).

W kolejnym wpisie opiszemy między innymi zabezpieczenia przed zgadywaniem haseł, zabezpieczenia przed spoofingiem oraz opiszemy definiowanie polityk dostępu do usług w Kerio Connect.