III. An toàn dịch vụ Email
3.Triển khai dịch vụ Email đảm bảo an toàn
Vị trí đặt máy chủ Mail tối ưu Lợi ích của việc đặt Mail Server trong vùng DMZ
- Máy chủ mail có thể được bảo vệ tốt hơn và luồng dữ liệu ra vào máy chủ mail có thể được giám
- Việc bảo vệ máy chủ mail không ảnh hưởng đến mạng nội bộ. Người quản trị có thể thiết lập các chính sách dành riêng cho máy chủ mail trong vùng DMZ mà không gây ảnh hưởng tới các máy tính trong hệ thống mạng nội bộ nằm trong vùng Intranet.
- Điều khiển tốt hơn về vấn đề an ninh của máy chủ mail
- Cấu hình vùng DMZ để tối ưu hoá việc bảo vệ và hỗ trợ máy chủ mail.
b. Kiểm soát truy nhập
Tường lửa và Router là các thiết bị điều khiển luồng giao thông giữa các mạng, chúng bảo vệ hệ thống trước những điểm yếu vốn có của giao thức TCP/IP. Để bảo vệ tốt máy chủ mail sử dụng tường lửa, phải cấu hình tường lửa đảm bảo được những yêu cầu sau:
- Kiểm soát tất cả các luồng dữ liệu ra vào giữa môi trường Internet và máy chủ mail
- Chặn tất cả các luồng dữ liệu vào máy chủ mail trừ một số giao thức được phép như: + TCP cổng 25 (SMTP) + TCP cổng 110 (POP3) + TCP cổng 143 (IMAP) + TCP cổng 398 (LDAP) + TCP cổng 636 (LDAP an toàn)
- Tường lửa phải kết hợp với hệ thống phát hiện xâm nhập để chặn các địa chỉ IP hoặc mạng con mà IDS đã có cảnh báo có dấu hiệu tấn công vào mạng
- Thiết lập cơ chế cảnh báo cho người quản trị máy chủ mail về các hành động tình nghi thông qua các cách thức thích hợp như: hệ thống tự động gửi email, tin nhắn tới số điện thoại của người quản trị, …
- Cấu hình tường lửa cung cấp chức năng lọc nội dung thư để phòng chống nguy cơ đính kèm các loại mã nguy hiểm vào trong email
- Cài đặt hệ thống hỗ trợ quét virus
- Thực hiện các giải pháp bảo vệ máy chủ mail chống lại các cuộc tấn công từ chối dịch vụ (DoS/DDoS)
- Cấu hình tường lửa cung cấp cơ chế ghi nhật ký các sự kiện đăng nhập và sử dụng hệ thống Email
c. Phát hiện và phòng chống xâm nhập
Nếu chỉ dựa vào tường lửa để bảo vệ hệ thống Email là chưa đủ, hệ thống cần phải được trang bị thêm thiết bị phát hiện và phòng chống xâm nhập (IDS/IPS). Các tính năng cơ bản mà một thiết bị IDS/IPS cần có là:
- Giám sát tất cả dữ liệu ra – vào máy chủ mail
- Giám sát sự thay đổi các file trên máy chủ mail
- Giám sát tài nguyên hệ thống có trên máy chủ mail
- Kết hợp chặt chẽ với tường lửa để ngăn chặn những truy nhập xuất phát từ địa chỉ IP đang có dấu hiệu tấn công vào mạng
- Cảnh báo cho người quản trị khi phát hiện tấn công bằng phương tiện thích hợp
- Phát hiện được nhiều hình thức tấn công với sai số chấp nhận được
- Ghi nhật ký các sự kiện bao gồm: địa chỉ IP, tên tấn công, kiểu tấn công (nếu đã biết), địa chỉ IP nguồn và đích của các truy nhập, cổng nguồn và đích, các giao thức mạng được sử dụng, …
- Thường xuyên cập nhật các dấu hiệu tấn công.
d. Sử dụng các giải pháp mã hoá
- Mã hoá tên truy cập, mật khẩu, nội dung email sẽ hạn chế được tấn công
- Để tăng cường tính năng an ninh, nên sử dụng các giao thức mã hoá mạnh như SSL, TLS để mã hoá các kết nối gửi nhận email
- Có thể sử dụng giải thuật PGP (Prety Good Privacy) để mã hoá nội dung email.
e. Phòng chống Virus
Virus và các mã nguy hiểm có thể được truyền qua thư điện tử dưới dạng file đính kèm. Nếu máy chủ mail không có một phần mềm phòng chống virus nào được cài đặt, hay phần mềm hoạt động không hiệu quả, các đe doạ an ninh sẽ gia tăng đối với người sử dụng đầu cuối. Do đó người quản trị hệ thống Email nên triển khai các giải pháp phòng chống virus cho hệ thống thư điện tử. Việc quét virus có thể được thực hiện trên tường lửa, nơi mà dữ liệu thư điện tử vào mạng trong của tổ chức, hay trên máy chủ mail và có thể trên từng máy của người sử dụng. Mỗi một lựa chọn đều có những điểm mạnh và điểm yếu nhất định. Nếu tài nguyên cho phép, sử dụng tất cả các lựa chọn trên có thể cung cấp sự an toàn cao hơn trong khi giảm thiểu các điểm yếu. Khi triển khai phòng chống Virus cho hệ thống Email cần chú ý một số điểm sau: (adsbygoogle = window.adsbygoogle || []).push({});
- Phát hiện và diệt tất cả các loại virus và các đoạn mã nguy hiểm khác
- Cung cấp cơ chế quét thông minh
- Cung cấp chế độ lọc nội dung thư điện tử
- Tạo sự dễ dàng trong quản lý và vận hành
- Hỗ trợ việc cài đặt và tải các bản cập nhật
- Cung cấp tính năng cập nhật thường xuyên mang tính chu kỳ
- Có thể nhận dạng và áp dụng các luật cho các kiểu nội dung khác nhau
- Cung cấp nguyên lý cảnh báo mạnh
- Cung cấp khả năng đưa ra nhật ký chi tiết.
f. Cấu hình lọc nội dung và chống Spam mail
Đối với một tổ chức, nội dung của một thư điện tử và các file đính kèm nhiều lúc có thể nguy hiểm hơn virus hay các đoạn mã độc hại. Trong trường hợp này, nên sử dụng các kỹ thuật lọc nội dung thư điện tử. Nói chung, các luật được định nghĩa để chuyển tiếp, cách ly, khoanh vùng, loại bỏ, ngăn chặn hay xoá bất kỳ dữ liệu nào đi qua máy chủ phụ thuộc vào kết quả quét. Thông thường các mục sau có thể bị bắt bởi bộ lọc và các hành động tương ứng của chúng là:
- Thư điện tử chứa nội dung kích hoạt -> loại bỏ phần kích hoạt rồi mới gửi cho người nhận
- Các Email mà bộ lọc coi là Spam thì sẽ bị xoá
- Các file dữ liệu đính kèm lớn thì có thể khoanh vùng và chuyển tiếp vào giờ an toàn.
Do Internet không cho phép cấu hình các chính sách tập trung, người quản trị máy chủ mail có thể tạo một danh sách các địa chỉ hay gửi các thư không mong muốn nhận. Các danh sách này thường được goi là “danh sách đen” (blacklist). Các danh sách này được cập nhật đều đặn, do đó một cấu hình thích hợp trên máy chủ mail có thể làm giảm Spam cho người sử dụng.
g. Cấu hình ngăn chặn OpenRelay và giả mạo mail server
Cơ chế OpenRelay là cơ chế cho phép bất cứ ai cũng có thể sử dụng SMTP của máy chủ mở Relay để gửi thư. Điều đó có nghĩa là các Spammer có thể lợi dụng máy chủ thư mở Relay để tấn công. Do đó, máy chủ thư cần được cấu hình cấm trung chuyển thư hoặc không chấp nhận các thư được gửi tới từ các máy chủ OpenRelay.
- http://www.ordb.org
- http://www.mail-abuse.com/rbl