郵件伺服器出現安全漏洞,除了會讓企業商譽受損外,若被用於攻擊,或透過郵件伺服器洩密,都可能會有相關的法律責任,因此企業不可不慎!本文由ASRC列舉幾個郵件伺服器常見問題,供企業對自身的郵件伺服器做一個簡單的健檢。
密碼防護的問題至關重要,因為取得密碼就像取得了合法的鑰匙,入侵或存取企業內部的資源不容易觸動其他的警報措施。對於密碼的防護,ASRC建議您可以從下面幾點著手:
- 1. 內部人員的認知與教育。
- 2. 限制最短密碼的長度。例如,密碼長度至少10位。
- 3. 強制密碼的複雜度。例如,密碼必須包含英文字
母、數字與符號。
- 4. 定期變更密碼,並防止重複使用。例如,半年強制
變更密碼,並不得重複使用進三次設定過的密碼。
- 5. 常見弱密碼掃描稽核,防止使用者仍設定易猜之密
碼。
- 6. 密碼驗證皆需有錯誤次數上限。例如,3次密碼輸
入錯誤即需要等10分鐘才能再行輸入,超過10次即對來源IP進行管制與記錄。
對於密碼的看法,管理者與使用者常有立場的衝突。管理者希望密碼應具備相當長度及複雜性;使用者則需要能記憶他自己的密碼。
要解決這類問題,建議管理者只要提示使用者將密碼設定為符合管理者的要求,但只對使用者本身有意義的高強度密碼,如女友的生日-女友英文名+自己家中電話,即可解決複雜度要求與記憶衝突的問題。
設定阻擋SYN flood攻擊
某些郵件伺服器的管理者常會發現,企業的郵件量並不大,但郵件伺服器常會變得很慢,甚至出現拒絕服務的情況(Denial of Service,DoS)。
這個原因很可能是郵件伺服器遭受到洪水攻擊(SYN flood),這種攻擊的特性,就是可能由某幾個IP發出過量的連線,連上郵件伺服器後不進行動作,或做不正常斷線,藉此消耗郵件伺服器的資源,最終將造成郵件伺服器因負擔過載而拒絕服務,導致企業正常通信受到嚴重的影響。
ASRC建議郵件伺服器管理者應做好下列三種防護措施,以避免遭受洪水攻擊:
- 1. 使用黑名單、RBL阻止一些已知的惡意IP的連線。
- 2. 郵件伺服器應直接拒絕未設定DNS A記錄的發信主
機連線。
- 3. 透過防火牆或郵件伺服器,限制單一IP同時連線數
量的上限。
以上列舉的僅是ASRC近期發現較典型的案例,整體郵件伺服器的安全仍有賴管理者良好的設定、定期進行安全性更新,與不斷吸收新的安全相關情報,並在必要時搭配防火牆、防毒軟體與反垃圾郵件機制,才能永續的維持。
<本文作者:高銘鍾,目前擔任ASRC亞太垃圾訊息研究中心(Asia SPAM-mail Research Center)主任。>