Kerio Connect bezpieczeństwo serwera poczty cz.2
W pierwszej części dotyczącej bezpieczeństwa serwera Kerio Connect, pisaliśmy o funkcjonalnościach w jakie serwer został wyposażony a w szczególności o konfiguracji serwera SMTP, tworzeniu polityk silnych haseł oraz konfiguracji bezpiecznego uwierzytelniania. W części drugiej przybliżymy zabezpieczenia serwera przed zgadywaniem haseł, przed spoofingiem – generalnie skupimy się na zabezpieczeniach dotyczących wiarygodności wiadomości mailowych.
W celu ochrony swoich użytkowników przed zgadywaniem haseł Kerio Connect został wyposażony w odpowiednie zabezpieczenia polegające na tymczasowym blokowaniu hosta z którego ma miejsce próba zgadywania hasła. Polega to na zablokowaniu adresu IP komputera podejrzanego o zgadywanie hasła (np. przy 10 próbach nieudanego logowania w ciągu minuty). Odpowiednich ustawień należy dokonać w panelu administracyjnym w zakładce Konfiguracja > Zabezpieczenia, opcja ta jest aktywna defaultowo.
Kolejną rzeczą jaką możemy zrobić jest kontrolowanie dostępu poprzez zaufane IP – stworzenie grup dostępowych. W wyniku czego logowanie będzie możliwe tylko z adresów IP z danej grupy dostępowej, IP nie znajdujące się na liście nie będą miały takiej możliwości. Dzięki logom Administrator może zablokować tymczasowo użytkownika, którego konto jest celem zgadywania hasła. Kerio Connect odblokowuje użytkownika po 5 minutach. Jeśli chcemy odblokować je szybciej korzystamy z opcji Unlock All Accounts Now.
Kerio Connect umożliwia definiowanie polityk związanych z dostępem użytkowników do danych usług, np. do: POP3, IMAP, LDAP – dostęp do centralnie zarządzanych kontaktów, Instant Messaging – komunikacja z użytkownikami z lub spoza domeny oraz http – dostęp do skrzynki przez https i klienta webowego. Odpowiednich ustawień dokonujemy w panelu administracyjnym w Konfiguracja > Definicje > Zasady dostępu użytkowników.
W przypadku gdy trafia do nas spam zawierający w informacji o nadawcy naszą domenę zaleca się dodanie rekordów Caller ID oraz SPF (Sender Policy Framework) do domeny. Spowoduje to, że spamerzy nie będą mogli podszyć się pod Waszą domenę wysyłając wiadomości do Was, zapobiegnie to również podszywaniu się pod waszą domenę i wysyłaniu maili na inne serwery. W celu dodatkowej ochrony wiadomości możemy je uwierzytelnić za pomocą DKIM (Domain Keys Identified Mail) – polega to na połączeniu domeny internetowej z wiadomością e-mail. Nadawca w nagłówku maila umieszcza sygnaturę DKIM, dzięki czemu serwer adresata dostając wiadomość pobiera z serwera DNS rekord TXT, w którym znajdują się umieszczone przez nas dane pozwalające na zweryfikowanie tej sygnatury, chodzi o pewność, czy dana wiadomość pochodzi z tej domeny i od tego nadawcy. Jeśli chcemy aby nasze wiadomości posiadały tę specjalną sygnaturę musimy dokonać odpowiednich ustawień w panelu administracyjnym w sekcji Konfiguracja > Domeny zakładka Ogólne sekcja DKIM – tam zaznaczamy odpowiedni box dla danej domeny oraz dodajemy klucz publiczny do serwera DNS.
Kolejną metodą uwierzytelniania wiadomości jaką umożliwia Kerio Connect jest cyfrowy podpis – użytkownicy mogą dodawać go do swoich wiadomości korzystając z Kerio Connect Client lub każdego innego klienta, który to udostępnia. Certyfikat taki możemy uzyskać po zalogowaniu się i zautoryzowaniu swojego konta.
Warto również wspomnieć, że serwer pocztowy Kerio Connect ma możliwość generowania swoich certyfikatów SSL, dzięki temu zapewnia uwierzytelnienie tożsamości na serwerze. Jedna domena może posiadać kilka certyfikatów. Connect tworzy pierwszy certyfikat (Self-Signed Certyficate) podczas instalacji. Po pierwszym logowaniu, użytkownik powinien go potwierdzić.
Możemy również korzystać z istniejących już certyfikatów SSL, które wygenerowano w innym serwisie. W tym celu należy wyeksportować istniejący certyfikat SSL wraz z kluczem publicznym w formacie PEM a następnie dokonać jego importu do Kerio Connect. Wszelkich ustawień związanych z certyfikatami dokonujemy w panelu administracyjnym w zakładce Konfiguracja zakładka Certyfikaty SSL.
Dla osób odbierających pocztę za pomocą urządzeń mobilnych zapewne istotna będzie informacja, że Kerio Connect ma możliwość wyczyszczenia skrzynki mailowej w przypadku zagubienia lub kradzieży telefonu. Administrator ma możliwość dokonania odpowiednich ustawień, dzięki czemu podczas próby logowania się do skrzynki nastąpi jej wyczyszczenie. W zależności od systemu, może to doprowadzić do przywrócenia ustawień fabrycznych (w przypadku iPhone).
W kolejnym artykule opowiemy o ochronie antywirusowej i antyspamowej serwera pocztowego Kerio.