الزامات امن‌سازی سرویس پست الکترونیک

الزامات امن‌سازی سرویس پست الکترونیک

تاریخ ایجاد

 

با توجه به آسیب‌شناسایی‌های انجام شده در حملات سایبری اخیر، ضرورت رعایت تمهیدات امنیتی زیر در سرویس پست الکترونیک الزامی می باشد

• عدم ارسال اطلاعات دارای طبقه‌بندی از طریق پست الکترونیک
• انتقال امن اطلاعات موجود در سرور پست الکترونیک به محیط محافظت شده در شبکه داخلی به صورت دوره‌ای
• حذف اطلاعات و فایل‌های غیرلازم از سرویس‌های پست الکترونیک
• گزارش دریافت اطلاعات دارای طبقه‌بندی از بستر پست الکترونیک به مراجع ذی‌صلاح سازمان
• عدم استفاده از بستر پست الکترونیک برای آرشیو یا بستر اشتراک‌گذاری اطلاعات
• عدم واگذاری نام‌کاربری و رمز عبور پست الکترونیک به دیگران
• تغییر دوره‌ای رمزهای عبور کاربران با رعایت سیاست‌های امنیتی نظیر پیچیدگی رمز عبور
• تست نفوذ دوره‌‌ای و ارزیابی امنیتی مستمر سرویس پست الکترونیک و تجهیزات مرتبط
• محدودسازی حجم و پسوند مجاز برای فایل‌های ضمیمه پست الکترونیک
• غیرفعالسازی حساب‌های کاربری بلااستفاده
• استفاده از قابلیت‌های امنیتی سرویس پست الکترونیک نظیر Anti-Phishing، Anti-Spamming، Reverse DNS و مسدودسازی Open Relay
• غیرفعالسازی ماژول‌های غیرضروری سرویس پست الکترونیک
• غیرفعالسازی امکان اجرای فرمان‌های خطرناک و غیرضرور سیستمی در سرویس پست الکترونیک مانند EXPN و VRFY
• حذف یا غیرفعال‌سازی نام‌های کاربری پیش‌فرض که در زمان نصب سرویس پست الکترونیک ایجاد شده‌اند.
• به‌روزرسانی مستمر نرم‌افزارهای پست الکترونیک
• به‌روزرسانی مستمر آنتی‌ویروس سرورها و کلاینت‌ها از مخازن معتبر محلی
• تهیه منظم نسخه‌های پشتیبان و نگهداری آن‌ها در محلی مجزا و امن
• تست صحت و جامعیت آخرین نسخه‌های پشتیبان در محیط آزمایشی مناسب
• استفاده از مکانیزم احراز هویت دو عامله برای دسترسی به سرویس پست الکترونیک
• محدودیت در تعداد کاربران Admin و اطمینان از رعایت سیاست‌های امنیتی مربوط به رمز عبور آن‌ها
• جلوگیری از اتصال نرم‌افزارهای جانبی مانند Outlook به سرویس پست الکترونیک برای دریافت و ارسال ایمیل
• مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه‌های حیاتی به خصوص سرور پست الکترونیک
• پایش مستمر لاگ سرور پست الکترونیک در سامانه مدیریت رویدادهای امنیتی
• قرارگیری سرور پست الکترونیک در ناحیه امن و محافظت شده در شبکه
• غیرفعالسازی تمامی پورت‌ها و سرویس‌های غیرضروری
• بازبینی قواعد دیواره آتش و اطمینان از اعمال سیاست‌های استاندارد امنیتی
• حتی‌الامکان دسترسی به سرویس پست الکترونیک به دسترسی داخل کشور (Iran Access) را محدود کنیم و در صورت ضرورت از راهکارهای تایید شده مانند VPN برای ارتباطات خارج از کشور استفاده کنیم.
• استفاده از پروتکل‌های به‌روز SSL و TLS برای دسترسی به سرویس پست الکترونیک و اطمینان از حفاظت کافی کلیدهای خصوصی در امضای پیام‌ها
• عدم نصب برنامه‌های جانبی به جز سرویس پست الکترونیک روی سرور
• استفاده از NTP Server داخلی
• استفاده از راهکارهای جلوگیری از انتشار اطلاعات بنر شامل برند، نسخه و نوع سیستم عامل و دیگر سامانه‌های مورد استفاده
• تعریف رکوردهای امنیتی مانند SPF, DMARC, DKIM در سرور DNS