الزامات امنسازی سرویس پست الکترونیک
با توجه به آسیبشناساییهای انجام شده در حملات سایبری اخیر، ضرورت رعایت تمهیدات امنیتی زیر در سرویس پست الکترونیک الزامی می باشد • عدم ارسال اطلاعات دارای طبقهبندی از طریق پست الکترونیک • انتقال امن اطلاعات موجود در سرور پست الکترونیک به محیط محافظت شده در شبکه داخلی به صورت دورهای • حذف اطلاعات و فایلهای غیرلازم از سرویسهای پست الکترونیک • گزارش دریافت اطلاعات دارای طبقهبندی از بستر پست الکترونیک به مراجع ذیصلاح سازمان • عدم استفاده از بستر پست الکترونیک برای آرشیو یا بستر اشتراکگذاری اطلاعات • عدم واگذاری نامکاربری و رمز عبور پست الکترونیک به دیگران • تغییر دورهای رمزهای عبور کاربران با رعایت سیاستهای امنیتی نظیر پیچیدگی رمز عبور • تست نفوذ دورهای و ارزیابی امنیتی مستمر سرویس پست الکترونیک و تجهیزات مرتبط • محدودسازی حجم و پسوند مجاز برای فایلهای ضمیمه پست الکترونیک • غیرفعالسازی حسابهای کاربری بلااستفاده • استفاده از قابلیتهای امنیتی سرویس پست الکترونیک نظیر Anti-Phishing، Anti-Spamming، Reverse DNS و مسدودسازی Open Relay • غیرفعالسازی ماژولهای غیرضروری سرویس پست الکترونیک • غیرفعالسازی امکان اجرای فرمانهای خطرناک و غیرضرور سیستمی در سرویس پست الکترونیک مانند EXPN و VRFY • حذف یا غیرفعالسازی نامهای کاربری پیشفرض که در زمان نصب سرویس پست الکترونیک ایجاد شدهاند. • بهروزرسانی مستمر نرمافزارهای پست الکترونیک • بهروزرسانی مستمر آنتیویروس سرورها و کلاینتها از مخازن معتبر محلی • تهیه منظم نسخههای پشتیبان و نگهداری آنها در محلی مجزا و امن • تست صحت و جامعیت آخرین نسخههای پشتیبان در محیط آزمایشی مناسب • استفاده از مکانیزم احراز هویت دو عامله برای دسترسی به سرویس پست الکترونیک • محدودیت در تعداد کاربران Admin و اطمینان از رعایت سیاستهای امنیتی مربوط به رمز عبور آنها • جلوگیری از اتصال نرمافزارهای جانبی مانند Outlook به سرویس پست الکترونیک برای دریافت و ارسال ایمیل • مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی به خصوص سرور پست الکترونیک • پایش مستمر لاگ سرور پست الکترونیک در سامانه مدیریت رویدادهای امنیتی • قرارگیری سرور پست الکترونیک در ناحیه امن و محافظت شده در شبکه • غیرفعالسازی تمامی پورتها و سرویسهای غیرضروری • بازبینی قواعد دیواره آتش و اطمینان از اعمال سیاستهای استاندارد امنیتی • حتیالامکان دسترسی به سرویس پست الکترونیک به دسترسی داخل کشور (Iran Access) را محدود کنیم و در صورت ضرورت از راهکارهای تایید شده مانند VPN برای ارتباطات خارج از کشور استفاده کنیم. • استفاده از پروتکلهای بهروز SSL و TLS برای دسترسی به سرویس پست الکترونیک و اطمینان از حفاظت کافی کلیدهای خصوصی در امضای پیامها • عدم نصب برنامههای جانبی به جز سرویس پست الکترونیک روی سرور • استفاده از NTP Server داخلی • استفاده از راهکارهای جلوگیری از انتشار اطلاعات بنر شامل برند، نسخه و نوع سیستم عامل و دیگر سامانههای مورد استفاده • تعریف رکوردهای امنیتی مانند SPF, DMARC, DKIM در سرور DNS
مرکز ماهر
دانشگاه کردستان