Khi bắt đầu tiến hành xây dựng một chính sách bảo vệ spam và relay, cần cân bằng giữa mục tiêu bảo vệ khỏi spam và việc cung cấp dịch vụ để thư điện tử có thể được phân chia trong thời gian hợp lý. Cần khởi tạo được một nguyên tắc sao cho không mất quá nhiều thời gian xử lý mà vẫn bẫy được các spam và virus. Chúng ta có thể thiết lập nguyên tắc này với một tập hợp các bước kiểm tra với phạm vi hẹp sẽ được thiết lập trước và từ từ tăng dần phạm vi lên. Khi đã xây dựng xong hệ thống, cần giám sát các kết quả bắt và không bắt spam để điều chỉnh phù hợp và thay thế hoặc bổ sung thêm các tính năng.
Ta có thể sử dụng tập hợp các chỉ tiêu dưới đây như một khởi đầu cho chính sách chống spam và virus:
Chống Relay có thể được cung cấp bởi tính năng ORIG_SEND_ACCESS. Tính năng này được thiết kế để chỉ cho phép các đối tác và người sử dụng phân phối thư đi trong vòng kiểm soát của SMTP.
Sử dụng dịch vụ xác thực người sử dụng để xác minh các người dùng chuyển vùng. Những khách hàng được xác thực sẽ được phép chuyển thư ra ngoài thông qua SMTP.
Sử dụng cách kiểm tra chủ đề thư để chống spam trên diện rộng.
Thiết lập số tối đa các người nhận cho 1 thư sử dụng từ khóa holdlimit. Điều này sẽ hạn chế được khá nhiều spam. Giá trị thiết lập cho trường hợp này có thể là 50 người nhận và nên theo dõi để điều chỉnh theo thời gian.
Sử dụng các bẫy Account để phát hiện các site gây spam mới
Những thư điện tử có nhiễm virus nên được trả lại người gửi mà không chuyển đến người nhận, vì nếu không nó sẽ phát tán rất nhanh.
Gửi thông tin về các trường hợp thư lây lan cho các công cụ để có thể có các báo cáo cho quản trị hệ thống đề phòng virus.
Thiết kế các máy phục vụ an toàn thƣ điện tử : Dưới đây là cái nhìn tổng thể về các phương pháp an toàn thư điện tử, mô tả các phương án an ninh thư điện tử cơ bản, và phân tích các yêu cầu chúng ta sẽ cần đến.
Nội dung bao gồm những phần sau:
Khởi tạo một chiến lược an ninh thư điện tử
Các thành phần bảo vệ trong hệ thống
Lập kế hoạch xác thực người dùng
Lập kế hoạch mã hóa thư điện tử
Hiểu về các quan niệm sai lầm trong an ninh thư điện tử
gây khó chịu cho người dùng. Những chiến lược an ninh hoàn thiện sẽ bảo vệ hệ thống khỏi tấn công từ bên ngoài hoặc bảo vệ người dùng khi truy nhập mail. Ngoài ra nó có thể bảo vệ các thông tin không bị đọc, hay thay đổi bởi những người dùng không liên quan.
RFC 2196, tài liệu Site Security Handbook, đã liệt kê năm bước để phát triển một chiến lược an ninh thư điện tử:
1. Xác định chủ thể cần được bảo vệ. Ví dụ, có thể là phần cứng, phần mềm, dữ liệu, tài liệu, hạ tầng mạng …
2. Xác định chúng ta cố gắng bảo vệ trước cái gì? Ví dụ, người dùng không xác thực, thư không mong muốn, tấn công từ chối dịch vụ.
3. Ước lượng các luồng an ninh cần thiết cho hệ thống. Nếu chúng ta là một nhà cung cấp dịch vụ lớn, các thay đổi về luồng an ninh có thể sẽ rất nhiều so với một tổ chức nhỏ. 4. Triển khai trong phạm vi có thể bảo vệ hệ thống với chi phí hiệu quả. Ví dụ, sẽ có phí tổn rất lớn cho việc thiết lập kết nối SSL bởi nó tạo gánh nặng cho hiệu năng hệ thống. Trong thiết kế chiến lược an ninh, cần cân bằng giữa các yêu cầu an ninh và năng lực hệ thống.
5. Tiếp tục theo dõi kiến trúc của chúng ta và cải thiện nó mỗi khi phát hiện ra điểm yếu Chúng ta cần quản lý việc kiểm tra hiệu quả của các chính sách an ninh. Có thể làm việc này bằng cách kiểm tra log tập tins và thông tin được ghi trong các SNMP agent.
Chiến lược an ninh bao gồm:
An ninh vật lý
An ninh máy phục vụ
An ninh mạng
An ninh vật lý: Giới hạn truy nhập vật lý là một phần quan trọng trong kiến trúc thiết kế. Ví dụ, giới hạn quyền tác động vật lý trên router, máy phục vụ, truyền dẫn, phòng máy… An ninh mạng và máy phục vụ là một tiêu điểm chú ý khi những cá nhân không đủ thẩm quyền có thể vào phòng máy và thao tác trên router, máy phục vụ.
An ninh máy phục vụ: Giới hạn truy nhập bằng các tài khoản quan trọng tới các hệ điều hành là một phần của chiến lược an toàn. Bảo vệ máy phục vụ qua các cơ chế xác thực và các điều khiển truy nhập hiện có trong hệ điều hành. Hơn nữa, chúng ta nên cài đặt các bản vá lỗi mỗi tuần và thông báo tình trạng an ninh cho nhà cung cấp.
An ninh mạng: Giới hạn truy nhập vào mạng của chúng ta là một phần quan trọng của chiến lược an ninh. Thông thường, cần giới hạn các truy nhập toàn quyền sẽ bị giới hạn bởi tường lửa. Hơn nữa, thư điện tử cần phải hợp lệ khi từ ngoài đi vào. SMTP là một dịch vụ có kiểm tra vấn đề này.
An ninh thƣ điện tử: Các máy phục vụ thư điện tử có thể thực hiện một tập các tiêu chuẩn an toàn như sau:
Xây dựng các thành phần bảo vệ trong hệ thống: Với tiêu chuẩn này, ta cần đảm bảo an toàn cho MTA relay, các hệ thống lưu trữ, webmail, và máy phục vụ chia thư. Hơn nữa, cần nghiên cứu về các sản phẩm lọc thư của nhà cung cấp thứ ba.
Triển khai xác thực người dùng: Tiêu chuẩn này cho phép chúng ta có thể xác định về người dùng sẽ xác thực với hệ thống thư điện tử, để bảo vệ hệ thống trước những đối tượng tình nghi truy nhập vào hệ thống.
Triển khai chiến lược mã hóa thư : Sử dụng bộ tiêu chuẩn này, chúng ta có thể triển khai xác thực người dùng và bảo vệ thư bới xác thực SMTP và các chữ ký số, mã hóa và SSL(secure sockets layer).