ساخت ایمیل سازمانی امن در ۶ مرحله

هر سازمانی برای مکاتبات رسمی با اشخاص حقیقی و حقوقی، نیازمند ایمیل سازمانی با دامنه اختصاصی است. در این مقاله، با آموزشی مقدماتی بر نحوه ساخت ایمیل سازمانی با در نظر گرفتن موضوع بسیار حساس امنیت ایمیل، در خدمت شما هستیم.

اگرچه هر سازمانی برای ارتباطات رسمی، نیازمند ایمیل اختصاصی است اما باید توجه داشت که ایمیل، یکی از مهم‌ترین وکتورهای حمله برای نفوذ هکرها به سازمان‌ها در سرتاسر دنیا است. بنابراین، خیلی اهمیت دارد که پیش از راه اندازی ایمیل سازمانی، مسئله امنیت سایبری مورد توجه ویژه قرار گیرد و در کل فرایند پیکربندی ایمیل سازمانی، امنیت سایبری را فراموش نکنیم. در این راهنمای ساخت ایمیل سازمانی، کلیات ساخت ایمیل برای سازمان خود را خواهید آموخت. با سایبرنو همراه باشید.

۱- برنامه‌ریزی و پیش‌نیازهای ساخت ایمیل سازمانی

پیش از اینکه کارهای فنی برای ساخت ایمیل سرور سازمانی را شروع کنید، باید طرح و برنامه مشخصی داشته باشید. برنامه‌ریزی پیش از شروع کار به شما کمک می‌کند تا سیستمی مقیاس‌پذیر و امن راه‌اندازی کنید که با نیازهای ارتباطی سازمان شما، همخوانی داشته باشد.

۲- انتخاب محیط سرور مناسب

گام بعدی در راه اندازی ایمیل سازمانی، انتخاب محیط سرور است. به طور کلی، دو نوع اصلی سرور برای راه‌اندازی ایمیل سازمانی وجود دارد:

۱) سرور شخصی (self-hosted) یا سرور ابری (cloud-based).

هر کدام از این دو نوع سرور مزیت‌ها و معایب خودشان را دارند. در جدول زیر، سرورهای شخصی و ابری با همدیگر مقایسه شده‌اند:

سرور شخصی

سرور ابری

*کنترل کامل روی سخت‌افزار و پیکربندی

*مناسب برای سازمان‌های بسیار حساس که نیازمند حفاظت داده بسیار سختگیرانه هستند

*انعطاف‌پذیری و مقیاس‌پذیری بالا

*نیاز نداشتن به نگهداری

*هزینه پایین

*مناسب اغلب سازمان‌ها (به غیر از سازمان‌های بسیار حساس دولتی، نظامی و ...)

پس از تعیین نوع سرور، باید سیستم عامل سرور را انتخاب کنید. دو گزینه اصلی، ویندوز و لینوکس هستند. سیستم عامل لینوکس از امنیت و مقیاس‌پذیری بالاتری نسبت به ویندوز برخوردار است و توزیع‌های مختلفی مثل Ubuntu، Debian، CentOS و RHEL دارد. اکثر سازمان‌ها، سیستم عامل لینوکس را به دلیل امنیت بالاتر آن ترجیح می‌دهند.

پس از اینکه نوع سرور و سیستم عامل را تعیین کردید، باید مشخصات سرور را نیز انتخاب کنید. حداقل مشخصات مورد نیاز برای ساخت ایمیل سرور سازمانی شامل دو هسته CPU، ۴ گیگابایت رم و بیش از ۵۰ گیگابایت حافظه ذخیره‌سازی است. با این حال، پیشنهاد می‌شود که سرور شما حداقل ۴ هسته CPU، ۸ گیگابایت رم و بیش از ۲۵۰ گیگابایت حافظه ذخیره‌سازی از نوع SSD داشته باشد.

سیستم ایمیل از سه مؤلفه نرم‌افزاری تشکیل می‌شود که شامل موارد زیر هستند:

مؤلفه Mail Transfer Agent یا MTA: نرم‌افزار MTA کار ارسال ایمیل‌ها و مسیریابی آن‌ها بین سرورها را انجام می‌دهد و با پروتکل SMTP کار می‌کند. از محبوب‌ترین نرم‌افزارهای MTA می‌توان به Postfix (نرم‌افزاری امن برای سرورهای لینوکس)، Exim (نرم‌افزاری انعطاف‌پذیر و رایج برای هاست‌های cPanel) و Microsoft Exchange (نرم‌افزاری تجاری برای سرورهای ویندوز) اشاره کرد.
مؤلفهMail Delivery Agent یا MDA: نرم‌افزار MDA ایمیل‌های ارسالی را از نرم‌افزار MTA دریافت و آن‌ها را وارد میل‌باکس کاربر می‌کند. این نرم‌افزار با پروتکل SMTP و پروتکل‌های حافظه ذخیره‌سازی ایمیل مثل Maildir یا mbox کار می‌کند. از رایج‌ترین نرم‌افزارهای MDA برای ساخت ایمیل سازمانی می‌توان به Dovecot (امن و سریع با پشتیبانی از پروتکل‌های IMAP و POP3)، Procmail (مناسب برای فیلتر کردن ایمیل) و Maildrop (جایگزین سبک‌تر Procmail) اشاره کرد.
مؤلفه Mail Retrieval Agent یا MRA: این مؤلفه، کار گرفتن ایمیل‌ها از سرور و تحویل دادن آن‌ها به نرم‌افزار کلاینت مدیریت ایمیل روی سیستم کاربر را انجام می‌دهد و از پروتکل‌های IMAP (برای دسترسی از راه دور) و POP3 (برای دانلود کردن) استفاده می‌کند. از رایج‌ترین نرم‌افزارهای MRA می‌توان به Dovecot (که به عنوان MDA نیز عمل می‌کند) و Fetchmail (برای دریافت ایمیل‌ها از یک سرور راه دور) اشاره کرد.

به طور کلی می‌توان گفت که بهترین ترکیب نرم‌افزاری برای ساخت ایمیل سازمانی، استفاده از Postfix به عنوان MTA و Dovecot به عنوان MDA و MRA است. این سیستم ایمیل سرور سازمانی، امنیت بالا، عملکرد بهینه و پیکربندی ساده‌تری دارد.

۳- تنظیمات پیشنهادی شبکه برای راه اندازی ایمیل سازمانی

پس از اینکه مشخصات محیط سرور خود برای ساخت ایمیل سازمانی را تعیین کردید، باید شبکه را برای سرویس ایمیل، پیکربندی کنید. توصیه می‌شود که از آدرس IP ثابت (استاتیک) استفاده کنید زیرا برای پیکربندی DNS مناسب‌تر است. همچنین، باید پهنای باند دانلود و آپلود کافی برای ایمیل سرور خود را تهیه کنید که با توجه به ترافیک پیش‌بینی‌شده برای ایمیل سرور سازمان شما، متغیر است. مواردی که روی پهنای باند مورد نیاز اثر می‌گذارند عبارتند از: تعداد کاربران، متوسط حجم ایمیل، تعداد ایمیل‌های ارسالی و دریافتی، استفاده از پروتکل IMAP (پهنای باند بیشتری نیاز دارد) یا POP3 (پهنای باند کمتری نیاز دارد) و نحوه بکاپ‌گیری (بکاپ‌گیری ابری نیازمند پهنای باند بیشتری است). در جدول زیر می‌توانید پهنای باند پیشنهادی را با توجه به اندازه سازمان و تعداد کاربران ببینید:

اندازه سازمان	تعداد کاربران	پهنای باند دانلود پیشنهادی	پهنای باند آپلود پیشنهادی
سازمان کوچک	۱ تا ۲۰ نفر	۵۰ تا ۱۰۰ مگابیت بر ثانیه (Mbps)	۱۰ تا ۲۰ مگابیت بر ثانیه
سازمان متوسط	۲۰ تا ۱۰۰ نفر	۲۰۰ تا ۵۰۰ مگابیت بر ثانیه	۵۰ تا ۱۰۰ مگابیت بر ثانیه
سازمان بزرگ	۱۰۰ تا ۵۰۰ نفر	یک گیگابیت بر ثانیه (Gbps)	۲۰۰ تا ۵۰۰ مگابیت بر ثانیه
سازمان‌های خیلی بزرگ (مانند ISPها، شرکت‌های ارائه‌دهنده خدمات هاستینگ)	بالای ۵۰۰ نفر	۱۰ گیگابیت بر ثانیه یا بیشتر	یک تا دو گیگابیت بر ثانیه

همچنین، باید از فایروال‌های سخت‌افزاری و نرم‌افزاری استفاده کنید تا تنها پورت‌های ضروری باز بمانند و پورت‌های غیر ضروری را برای امنیت بیشتر ایمیل سرور، ببندید.

۴- نام دامنه و تنظیمات DNS

انتخاب درست نام دامنه، نه تنها به برندینگ سازمان شما کمک می‌کند، بلکه برای احراز وابستگی سازمانی کارکنان شما، رسمیت بخشیدن به مکاتبات سازمانی و البته، ارتقاء امنیت سایبری در مقابل حملات فیشینگ (Phishing)، جعل هویت (Spoofing) و دسترسی غیر مجاز به ایمیل اهمیت بسیار بالایی دارد. بنابراین، باید دامنه‌ای را انتخاب کنید که:

۱) با نام سازمان شما همخوانی داشته باشد و
۲) به تنظیمات DNS آن دسترسی کامل داشته باشید.

پس از تعیین دامنه، باید تنظیمات DNS را نیز انجام دهید. برای راه‌ اندازی ایمیل سازمانی، حداقل سه DNS record نیاز دارید که به شرح زیر هستند:

۱) MX Record که Mail Exchanger هم نامیده می‌شود: این رکورد DNS تعیین می‌کند که کدام ایمیل سرور باید ایمیل‌های ارسالی برای دامنه شما را دریافت کند. به مثال زیر توجه کنید:

yourdomain.com. IN MX 10 mail1.yourdomain.com.

رکورد بالا نشان می‌دهد که ایمیل‌های ارسال شده به آدرس user@yourdomain.com باید به سرور mail1.yourdomain.com ارسال شوند. در این مثال، عدد ۱۰ نشان‌دهنده مقدار اولویت (priority value) است که هر چه پایین‌تر باشد، نشان‌دهنده اولویت بالاتر است؛ در واقع، اگر چندین ایمیل سرور داشته باشید، مقدار اولویت نشان می‌دهد که کدام ایمیل سرور باید در اولویت دریافت ایمیل باشد. به مثال زیر توجه کنید:

.yourdomain.com.   IN   MX   10 mail1.yourdomain.com
.yourdomain.com.   IN   MX   20 mail2.yourdomain.com
.yourdomain.com.   IN   MX   30 mail3.yourdomain.com

در این مثال، اولویت اول با سرور mail1.yourdomain.com است که اگر به هر دلیلی در دسترس نباشد، ایمیل‌های ارسال شده به دامنه yourdomain.com به سرور mail2.yourdomain.com ارسال خواهد شد و اگر این سرور نیز در دسترس نباشد، ایمیل‌ها به آدرس mail3.yourdomain.com ارسال می‌شوند. در صورتی که تنها یک سرور داشته باشید، باز هم مقدار اولویت را بایید تعیین کنید که معمولا ۰ یا ۱۰ انتخاب می‌شود.

۲) A Record که Address هم نامیده می‌شود: این رکورد DNS نام دامنه را به آدرس IP سرور مرتبط می‌سازد. به مثال زیر توجه کنید:

mail.yourdomain.com. IN A 192.168.1.10

در صورتی که A record را در تنظیمات DNS نداشته باشید، دامنه شما به سرور شما متصل نخواهد شد.

۳) PTR Record که DNS معکوس نیز نامیده می‌شود: این رکورد DNS برای ایمیل سرورها به شدت توصیه می‌شود. بسیاری از سرورهای دریافت ایمیل، برای تأیید اینکه آدرس IP ارسالی شما همان آدرس IP دامنه شما است، PTR را چک می‌کنند. در صورتی که PTR را برای ایمیل سرور خود تنظیم نکنید، ممکن است بسیاری از ایمیل سرورها، ایمیل‌های ارسالی از سرور شما را رد یا اسپم کنند. برای فعال کردن PTR روی ایمیل سرور خود می‌توانید از دستور زیر استفاده کنید:

1 IN PTR mail.example.com.

به غیر از مواردی که در بالا گفته شد، می‌توانید رکوردهای DNS زیر را نیز برای ایمیل سرور خود کانفیگ کنید:

SPF Record یا فریم‌ورک Sender Policy: این رکورد DNS مشخص می‌کند که کدام سرورها می‌توانند از دامنه شما، ایمیل ارسال کنند. به مثال زیر توجه کنید:

yourdomain.com. IN TXT "v=spf1 mx -all"

در این مثال، تنها سرورهایی که در Mx record لیست شده باشند، امکان ارسال ایمیل از طرف دامنه شما دارند. تنظیم درست SPF record بسیار از نظر امنیتی اهمیت دارد زیرا جلوی ارسال ایمیل‌های جعلی از طرف دامنه شما را می‌گیرد.

DKIM Record یا DomainKeys Identified Mail: این رکورد DNS نوعی امضای دیجیتالی به ایمیل‌های شما اضافه می‌کند تا مشخص شود که این ایمیل‌ها از طرف شما ارسال شده‌اند و تحریف نشده‌اند. به مثال زیر توجه کنید:

default._domainkey.yourdomain.com. IN TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY_HERE"

DMARC Record یا Domain-based Message Authentication, Reporting & Conformance: ایمیل سرور شما بدون این رکورد نیز کار می‌کند اما برای امنیت سرور ضروری است. این DNS record به ایمیل سرورها می‌گوید که اگر ایمیلی تایید SPF و DKIM را نداشته باشد، چه کار کنند. به مثال زیر توجه کنید:

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com"

در اینجا، به ایمیل سرورها دستور داده می‌شود تا ایمیل‌هایی که تایید SPF و DKIM را ندارند، رد کنند. در واقع، DMARC Record از دامنه شما در مقابل فیشینگ، محافظت می‌کند.

۵- راه اندازی ایمیل سرور

پس از برنامه‌ریزی، اتخاذ تصمیمات در رابطه با محیط سرور و انتخاب نام دامنه و تنظیمات DNS، وقت این است که نرم‌افزارهای لازم برای راه اندازی ایمیل سرور سازمانی را روی کامپیوتر(های) سرور نصب و کانفیگ کنید. در این مرحله، با چندین مثال، این کار را به شما آموزش می‌دهیم.

۵-۱- آموزش نصب و کانفیگ MTA

گفتیم که هر سیستم ایمیل برای ارسال ایمیل‌ها و مسیریابی آن‌ها بین سرورها باید دارای یک مؤلفه MTA باشد. در ادامه، خیلی خلاصه، نگاهی خواهیم داشت بر نحوه نصب MTA روی ایمیل سرور.

۵-۱-۱- نصب و کانفیگ MTA در لینوکس

در مثال زیر، می‌توانید نحوه نصب نرم‌افزار Postfix را که نوعی نرم‌افزار MTA امن و انعطاف‌پذیر است، در سیستم عامل لینوکس و توزیع‌های Debian/Ubuntu مشاهده کنید:

sudo apt update sudo apt
install postfix

در هنگام نصب، گزینه Internet Site را انتخاب و دامنه ایمیل سازمانی خود را مشخص کنید.

برای کانفیگ کردن Postfix روی سرور خود باید دامنه و پارامترهای امنیتی خود را با ویرایش /etc/postfix/main.cf تعیین کنید. به مثال زیر توجه کنید:

myhostname = mail.example.com
mydomain = example.com
myorigin = $mydomain
inet_interfaces = all
inet_protocols = ipv4
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
relay_domains = $mydestination

فعال کردن TLS: فایل «امنیت لایه انتقال» یا TLS، داده‌های انتقالی بین اپلیکیشن‌های کلاینت ایمیل و سرورهای ایمیل را رمزنگاری می‌کند و برای حفاظت از اطلاعات حساسی که از بر بستر اینترنت منتقل می‌شوند، ضروری است. در واقع، این فایل، هویت سروری را که اطلاعات به آن ارسال می‌شود را احراز می‌کند. برای فعال کردن TLS، کد زیر را به فایل main.cf اضافه کنید:

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

در کد بالا، باید گواهی snakeoil را با یک گواهی SSL معتبر، جایگزین کنید.

محدود کردن امکان Reply: برای جلوگیری از امکان Reply کردن بدون احراز هویت به ایمیل‌ها، ویرایش زیر را در فایل main.cf انجام دهید:

smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

استفاده از Exim در Debian به عنوان MTA

معمولا، توزیع‌های لینوکس Debian به صورت پیش‌فرض دارای نوعی نرم‌افزار MTA به نام Exim هستند. در غیر این صورت، می‌توانید از کد زیر برای نصب Exim روی این توزیع لینوکس استفاده کنید:

sudo apt update
sudo apt install exim4

پس از وارد کردن کد بالا، مطابق دستورالعمل ویزارد نصب پیش بروید.

معمولا، کانفیگ Exim را می‌توانید در /etc/exim4/exim4.conf.template پیدا کنید اما این امکان نیز وجود دارد که کانفیگ Exim در چندین فایل در مسیر /etc/exim4/conf.d/ توزیع شده باشد. با ویرایش این فایل‌(ها) می‌توانید دامنه و تنظیمات امنیتی خود را تعیین کنید.

۵-۱-۲- نصب و کانفیگ MTA در ویندوز

گزینه‌های متنوعی برای استفاده به عنوان MTA در ویندوز سرور وجود دارد. یکی از محبوب‌ترین این نرم‌افزارها برای ساخت ایمیل سازمانی، Microsoft Exchange Server است. برای این کار باید به ترتیب زیر پیش بروید:

۱- نصب Microsoft Exchange Server: ابتدا فایل نصبی را اجرا و سپس، نقش‌هایی را که نیاز دارد (مانند Mailbox، Edge Transport، Client Access و ...) را انتخاب کنید. مهم‌ترین نقشی که حتما باید انتخاب شود، Mailboxاست. سپس، مسیر نصب را انتخاب کنید. در طول نصب نرم‌افزار، نیازمندی‌های سیستمی بررسی می‌شوند و در صورتی که سرور شما از پیش‌نیازهای لازم برای نصب برخوردار نباشد، خطاهایی نمایش داده می‌شود که تنها راه رفع آن‌ها، ارتقاء مشخصات سرور است. در نهایت، نقش‌ها و مؤلفه‌هایی که انتخاب کرده‌اید، روی سرور نصب می‌شوند.

۲- کانفیگ کردن Microsoft Exchange Server: برای اینکار می‌توانید از یک EAC تحت وب یا Exchange Management Shell (PowerShell) استفاده کنید. در این مرحله باید دامنه‌(های) خود را وارد و پالیسی‌های ساخت آدرس ایمیل برای کاربران را تعیین کنید. همچنین، باید تنظیمات پایگاه داده مانند تعیین مکان، اندازه و دیگر مشخصات پایگاه داده میل‌باکس را انجام دهید. امکان تعیین قوانینی برای مسیریابی، فیلترینگ و پردازش ایمیل‌ها نیز وجود دارد و کانکتورهای ارسال یا Send Connectors (برای ارسال ایمیل بر بستر اینترنت) و کانکتورهای دریافت یا Receive Connectors (برای دریافت ایمیل بر بستر اینترنت) نیز کانفیگ شوند.

برای دسترسی تحت وب کاربران به ایمیل باید Outlook Web App را کانفیگ کنید. همچنین، کانفیگ کردن ActiveSync برای دسترسی کاربران از دستگاه‌های موبایل به ایمیل، ضروری است. علاوه بر همه این‌ها، باید Outlook Anywhere را برای دسترسی کلاینت‌های Outlook بر بستر اینترنت کانفیگ کنید.

۳- نصب و کانفیگ سرتیفیکت SSL: برای انتقال امن اطلاعات، باید سرتیفیکیت‌های SSL (HTTPS برای دسترسی وب و SMTP روی TLS) را نصب و کانفیگ کنید. همچنین، امکان استفاده از سرتیفیکیت‌های شخصی‌سازی شده یا سرتیفیکیت‌های قابل اطمینان دیگر نیز وجود دارد.

۵-۲- کانفیگ کردن پروتکل‌های IMAP و POP3

پس از نصب و کانفیگ کردن MTA، نوبت به نصب و کانفیگ کردن نرم‌افزار MDA است. در این بخش، مثال‌هایی از نصب و پیکربندی پروتکل‌های IMAP و POP برای راه اندازی ایمیل سازمانی امن ارائه می‌دهیم.

۵-۲-۱- نصب و راه‌اندازی MDA در لینوکس

در مثال زیر، نحوه نصب و کانفیگ کردن نرم‌افزار Dovecot در سیستم عامل لینوکس را می‌بینید:

sudo apt update
sudo apt install dovecot-core dovecot-imapd dovecot-pop3d

برای کانفیگ کردن Dovecot در لینوکس، باید فایل /etc/dovecot/dovecot.conf را ویرایش کنید. به مثال زیر توجه کنید:

protocols = imap pop3
listen = *

بدین ترتیب، فایل /etc/dovecot/dovecot.conf برای دریافت ایمیل، از پروتکل‌های IMAP و POP استفاده می‌کند. برای تعیین مکان میل‌باکس‌ها می‌توانید فایل /etc/dovecot/conf.d/10-mail.conf را به صورت زیر ویرایش کنید:

mail_location = maildir:~/Maildir

برای افزایش امنیت ایمیل سازمانی، باید با ادیت کردن /etc/dovecot/conf.d/10-ssl.conf به صورت زیر، SSL را فعال کنید:

ssl = required
ssl_cert = ssl_key =

همچنین، می‌توانید سازوکارهای احراز هویت را در /etc/dovecot/conf.d/10-auth.conf تنظیم کنید.

۵-۲-۲- نصب و راه‌اندازی MDA در ویندوز

در Microsoft Exchange می‌توانید پروتکل‌های IMAP و POP را در Exchange Admin Center کانفیگ کنید. همچنین، در hMailServer، کانفیگ کردن این پروتکل‌ها در Administrative Console انجام می‌شود.

۶- نکاتی برای افزایش امنیت ایمیل سازمانی

در بالا، نحوه ساخت ایمیل سازمانی را در هر دو محیط لینوکس و ویندوز به صورتی بسیار خلاصه، مرور کردیم و حتی بعضی نکات مثل فعال کردن TLS/SSL را که ارتقاء امنیت ایمیل ضروری هستند، توضیح دادیم. با این حال، مواردی که در بالا مورد اشاره قرار گرفتند، تنها امنیت پایه‌ای را برای ایمیل سرور شما فرآهم می‌آورند. در صورتی که می‌خواهید سرور ایمیل شما از امنیت بالاتری در مقابل حملات هکری برخوردار باشد، باید تنظیمات پیشرفته‌تری انجام دهید. در ادامه، به بعضی از این تنظیمات، اشاره می‌کنیم و مثال‌هایی ارائه می‌دهیم.

۶-۱- فعال کردن TLS/SSL در لینوکس

برای این کار، ابتدا باید Cerbot را با دستور زیر، نصب کنید:

sudo apt update
sudo apt install certbot python3-certbot-apache

سپس، می‌توانید با دستور زیر، برای دامنه mail.example.com، درخواست سرتیفیکیت کنید:

sudo certbot certonly --standalone -d mail.example.com

در مرحله بعدی باید MTA و MDA را در ایمیل سرور، برای استفاده از سرتیفیکیت، کانفیگ کنید.

۶-۲- فعال کردن TLS/SSL در ویندوز

برای اینکار باید ابتدا یک سرتیفیکیت معتبر از یک CA مطمئن دریافت کنید و سپس، سرتیفیکت را درون Windows Certificate Store وارد کنید. در صورتی که از Microsoft Exchange استفاده می‌کنید، در مرحله بعدی باید با استفاده از Exchange Management Shell، سرتیفیکیت را برای Exchange services تعیین کنید.

۶-۳- سازوکارهای احراز هویت

برای دسترسی غیر مجاز به ایمیل سازمانی خود باید از سازوکارهای احراز هویت قوی استفاده کنید. برای مثال، می‌توانید در لینوکس با دستور زیر، احراز هویت SMTP یا SASL را با نصب ماژول‌های ضروری برای Postfix، فعال کنید:

sudo apt install libsasl2-modules sasl2-bin

سپس، با دستور زیر، فایل /etc/postfix/main.cf را بروزرسانی کنید:

smtpd_sasl_auth_enable = yes
smtpd_tls_auth_only = yes

معمولا، سازوکارهای احراز هویت Dovecot بسیار امن هستند. با این حال، می‌توانید برای امنیت بالاتر، از گزینه‌های مثل OAuth برای تنظیمات امنیتی پیشرفته، استفاده کنید.

در مایکروسافت Exchange، احراز هویت به صورت پیش‌فرض با استفاده از نام کاربری و گذرواژه انجام می‌شود که به صورت متن واضح (یا کدگذاری‌شده به صورت base64) به سرور ارسال می‌شوند. البته base64 نیز به راحتی کدگشایی می‌شود. بنابراین، توصیه می‌شود که هرگز به روش احراز هویت پیش‌فرض Exchange اتکا نکنید و اقدامات زیر را انجام دهید:

با اتخاذ پالیسی‌هایی، کاربران را مجبور به انتخاب گذرواژه‌های قوی کنید.
احراز هویت چندعاملی را فعال کنید.
به طور منظم به لاگ‌ها نظارت داشته باشید تا هر گونه فعالیت مشکوک را به موقع شناسایی کنید. برای خودکارسازی اینکار می‌توانید از یک سامانه SIEM استفاده کنید. برای اطلاعات بیشتر، مقاله SIEM چیست را بخوانید.

۶-۴- حفاظت در مقابل اسپم و بدافزارها

یکی از مهم‌ترین اقداماتی که برای ساخت ایمیل سازمانی امن باید انجام دهید، ایجاد راهکارهایی دفاعی در مقابل ایمیل‌های اسپم و بدافزارهایی است که در حملات BEC برای کاربران سامانه ایمیل شما ارسال می‌شوند.

برای دفاع در مقابل ایمیل‌های اسپم در لینوکس سرور می‌توانید SpamAssassin را با فرمان زیر نصب کنید:

sudo apt install spamassassin
sudo systemctl enable spamassassin
sudo systemctl start spamassassin

همچنین، شما می‌توانید با کانفیگ کردن /etc/postfix/master.cf، این ابزار فیلتر کردن اسپم را با Postfix یکپارچه کنید.

برای مقابله با بدافزارها، می‌توانید راهکار امنیت ایمیل سایبرنو را سایبرنو را روی ایمیل سرور خود نصب کنید. این راهکار، با مجهز بودن به فناوری Multi-AV می‌تواند ایمیل‌ها را با تعداد زیادی موتور آنتی ویروس اسکن کند و بنابراین، از نرخ تشخیص بسیار بالایی برخوردار است.

نرم‌افزار Exchange در ویندوز سرور به صورت پیش‌فرض دارای قابلیت‌های ضد اسپم و ضد بدافزار است که می‌توانید آن‌ها را در Exchange Admin Center تنظیم و قوانینی برای فیلترینگ ایمیل‌های اسپم و حاوی بدافزار، تعیین کنید.

۶-۵- قوانین فایروال و پیشگیری از نفوذ

برای پیشگیری حداکثری از نفوذ، باید تنها پورت‌های ضروری را باز نگه دارید که شامل موارد زیر هستند:

پورت‌های ۲۵ (بدون رمزنگاری) و ۵۸۷/۴۶۵ (با رمزنگاری) برای پروتکل SMTP
پورت‌های ۱۴۳ (بدون رمزنگاری) و ۹۹۳ (با رمزنگاری) برای پروتکل IMAP
پورت‌های ۱۱۰ (بدون رمزنگاری) و ۹۹۵ (با رمزنگاری) برای پروتکل POP3

برای مدیریت پورت‌ها به صورت بالا در لینوکس باید فایل iptables را به صورت زیر کانفیگ کنید:

sudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 465 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 587 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 993 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 995 -j ACCEPT
sudo iptables -P INPUT DROP

گذشته از مدیریت پورت‌ها، می‌توانید از Fail2Ban برای نظارت بر فعالیت‌های مشکوک و بلاک کردن موقتی IPها استفاده کنید. با فرمان زیر می‌توانید Fail2Ban را نصب کنید:

sudo apt install fail2ban

و سپس، یک کانفیگ jail مخصوص برای سرویس ایمیل خود در /etc/fail2ban/jail.local ایجاد کنید.

برای جلوگیری از حملات بروت فورس (brute-force) نیز می‌توانید ریت لیمیتنگ (rate limiting) انجام دهید. برای اینکار می‌توانید با فرمان زیر، Postfix را کانفیگ کنید:

smtpd_client_connection_rate_limit = 10

فرمان بالا، تعداد دفعات اتصال هر کلاینت را به ۱۰ مرتبه، محدود می‌کند و می‌تواند جلوی حملات بروت-فورس را بگیرد.

۶-۶- آپدیت کردن و بکاپ‌گیری خودکار

یکی از راه‌های هکرها برای هک کردن ایمیل سرورها، اکسپلویت کردن آسیب‌پذیری‌های موجود در ایمیل سرور است. با بروزرسانی و پچ کردن منظم نرم‌افزارها و مؤلفه‌های ایمیل سرور، می‌توانید احتمال هک شدن به این روش را به حداقل برسانید. برای مثال می‌توانید در لینوکس از فرمان زیر برای دریافت خودکار بروزرسانی‌های امنیتی، استفاده کنید:

sudo apt install unattended-upgrades

همچنین می‌توانید /etc/apt/apt.conf.d/50unattended-upgrades را مطابق با نیازمندی‌های خود، کانفیگ کنید.

در ویندوز، باید از Group Policy برای آپدیت کردن منظم سرورها استفاده کنید.

توجه داشته باشید که هر چقدر هم که تنظیمات امنیتی ایمیل سرور را به خوبی انجام دهید، همواره احتمال هک شدن ایمیل سرور شما وجود دارد. بنابراین، باید بکاپ‌گیری از سرور را به صورت منظم انجام دهید. بکاپ‌گیری شامل موارد زیر است:

بکاپ‌گیری کامل از سرور: با استفاده از ابزارهایی مثل rsync یا راهکارهای بکا‌پ‌گیری ابری می‌توانید از دایرکتوری‌های ایمیل، بکاپ‌گیری کنید.
بکاپ تنظیمات: به طور منظم از کانفیگ‌های فایل‌ها در Postfix و Dovecot بکاپ‌گیری کنید.
بکاپ پایگاه داده: اگر از پایگاه داده برای webmail استفاده می‌کنید، می‌توانید از mysqldump یا ابزارهای مشابه برای بکاپ‌گیری منظم استفاده کنید.

برای مثال، به فرمان بکاپ‌گیری زیر در لینوکس توجه کنید:

tar -czvf /backup/email-server-$(date +%F).tar.gz /etc/postfix /etc/dovecot /var/mail

۶-۷- برنامه بازیابی پس از حادثه

تنها بکاپ‌گیری برای بازیابی پس از حادثه کافی نیست و باید طرح بازیابی پس از حادثه شما باید شامل موارد زیر باشد:

مستندسازی: تمامی تنظیمات ایمیل سرور را مستند کنید.
سرور یدکی: در صورت داشتن منابع کافی، یک سرور یدکی برای مواقع ضروری مانند از کار افتادن سرور اصلی، داشته باشد.
تست کردن: به طور مرتب بکاپ‌ها را تست کنید تا از انجام درست فرایند بکاپ‌گیری مطمئن شوید.
پاسخ به حوادث: طرح جامعی برای پاسخ سریع و مؤثر به حملات سایبری به ایمیل سرور خود داشته باشید.

جمع‌بندی

شاید ساخت ایمیل سازمانی کار ساده‌ای به نظر برسد اما با توجه به افزایش روز افزون تهدیدات سایبری و خسارت‌هایی که هک شدن ایمیل سرور می‌تواند به سازمان شما وارد کند، خیلی اهمیت دارد که در هنگام کانفیگ کردن ایمیل سازمانی، به نکات امنیتی توجه کافی داشته باشید.

در این مقاله با آموزش راه اندازی ایمیل سازمانی در خدمت شما بودیم و خیلی خلاصه توضیح دادیم که چطور می‌توانید یکی ایمیل سازمانی امن بسازید. با این حال، هر کدام از مراحل توضیح داده شده در بالا، پیچیدگی‌های و ظرافت‌های فنی خاص خودشان را دارند که توضیح آن‌ها در یک مقاله امکان‌پذیر نیست. البته، در مقالات بعدی که در بلاگ سایبرنو منتشر می‌شوند، در رابطه با هر کدام از این مراحل، با جزئیات بیشتری صحبت خواهیم کرد.

تاریخ انتشار: 1403/12/06

تاریخ بروزرسانی: 1403/12/12