Рекомендации по защите сервера

Ideco UTM с настройками по умолчанию уже содержит необходимые правила для безопасной работы почтового сервера и защиты его от bruteforce и DoS-атак. Но нужно понимать, что защитить вас от DDoS-атаки или большого количества флудового трафика не сможет ни один сервер, это решается на вышестоящем оборудовании, чаще всего на стороне провайдера.

Совет для всех администраторов, которые хотят держать почтовый сервер на шлюзе: если все пользователи в вашей локальной сети работают только с вашим почтовым сервером или веб-почтой из Интернет, и подключение почтовыми программами к внешним почтовым серверам запрещено политиками безопасности, то лучше заблокировать порт 25 TCP для всех пользователей для отправки по нему трафика наружу. Делается это через системный файрвол, правило будет выглядеть так:

При наличии такого правила, если пользователи в локальной сети будут заражены вирусом или почтовым ботом, который будет напрямую слать почту в Интернет, то этот трафик будет заблокирован и вы не попадёте в спам-листы публичных ресурсов.

Также рекомендуется включить систему предотвращения вторжений, она блокирует вирусную активность исходящую из сети и поможет избежать попадания вашего сервера в спам-листы.

Last updated