Dodatkowe zabezpieczenia usług pocztowych

[theqkash]

Zastanawiam się nad wprowadzeniem jakiegoś dodatkowego zabezpieczenia na firmowym serwerze pocztowym. Chodzi mi o sytuację, gdy ktoś będzie logował się niepoprawnym hasłem. W chwili obecnej korzystam jedynie z fail2ban, ale zastanawiałem się bardziej nad rozwiązaniem, gdzie wymagana byłaby dodatkowa autoryzacja, zwłaszcza w przypadku logowania z nietypowej lokalizacji lub po wielu niepoprawnych próbach logowania (tak jak się odbywa to np. w gmailu).

Czy znacie tego typu rozwiązania i czy ich wprowadzanie ma w ogóle sens?

[Poziomecki]

Sens średni bo rzeźba będzie. Ewentualnie możesz zrobić jakąś dwuskładnikową autoryzację np. rainloop to obsługuje fajnie.

 

Ewentualnie jak chcesz rzeźbić dalej to wyłączone IPki wszystkie spoza firmy do łączenia się na pocztę + formularz gdzie trzeba wpisać swój e-mail i jak byś zrobił sobie bazę email + numer telefonu ludzi to wysyłka SMS z kodem, który muszą wpisać i dopiero IP z którego się łączą umożliwi połączenie do poczty

 

Ale raczej szkoda czasu na takie zabawy

[SomeGuy]

Sam ostatnio szukałem czegoś w ten deseń i w kolejce na przegląd oczekuje u mnie SSHGuard: https://www.sshguard.net/ (https://bitbucket.org/sshguard/sshguard/overview)

Edytowane 29 Października 2017 przez SomeGuy

[Przemek Jagielski]

fail2bana zastąpiłem CSFem. A gdyby do logowania zaciągnąć PAM i wtedy podwójna autoryzacja w postaci kodów Google Auth? 

[theqkash]

22 godziny temu, Poziomecki napisał:

Sens średni bo rzeźba będzie. Ewentualnie możesz zrobić jakąś dwuskładnikową autoryzację np. rainloop to obsługuje fajnie.

Tutaj konkretnie rzecz w tym, że webmaile to ja mogę pozabezpieczać, chodzi mi natomiast o bezpośrednie próby dostania się na skrzynki przez imap/pop3/smtp

[Sevos]

37 minut temu, theqkash napisał:

Tutaj konkretnie rzecz w tym, że webmaile to ja mogę pozabezpieczać, chodzi mi natomiast o bezpośrednie próby dostania się na skrzynki przez imap/pop3/smtp

 

W ramach Google Apps jeśli chodzi o IMAP/SMTP -- jedyne rozwiązanie to tzw. hasło aplikacji, które jest generowane automatycznie. Teoretycznie jest to zwykłe hasło, tyle że trudniejsze i specjalnie tak wygenerowane, aby niemożliwe było brute-force. No i jak zawsze - fail2ban lub csf, żeby nie było możliwości wielokrotnego zgadywania hasła, that's all.

 

Nie mam pomysłu jak można to sensowniej rozwiązać. Po prostu raz na jakiś czas regularnie zmieniać hasła, kontrolować IP - że nie zmienia się z du*y klasa IP (np. wspomniany SSHGuard), w obrębie której się łączysz do poczty etc.

[gb1]

W dniu 29/10/2017 o 12:47, theqkash napisał:

Zastanawiam się nad wprowadzeniem jakiegoś dodatkowego zabezpieczenia na firmowym serwerze pocztowym.

 

Wnioskuję że jeśli firmowy serwer poczty to jest większa możliwość kontroli użytkowników, ich wykorzystania usług oraz narzucenia rozwiązań bezpieczeństwa. Sugerowałbym rozważenie certyfikatów co pozwoli na odrzucanie połączeń jeszcze przed możliwością rozpoczęcia konwersacji z wykorzystaniem jednego z wymienionych protokołów. Innym rozwiązaniem  które należałoby także wziąć pod uwagę to vpn.  

[hemi]

CSF od którejś wersji ma wbudowany unlock IPka poprzez przepisanie reCaptcha - https://blog.configserver.com/?p=3000

[smarthost]

w zasadzie np. cPanel ma swoje, fajnie konfigurowalne cpHulk. Do tego można ustawić wyższy poziom blokad na CSF, żeby tam wpadało coś na stałe. Choć realnie jak klienci są z Polski, to czasem z doświadczenia wiem, że bywa problem z blokadami automatycznymi, bo ludzie mają pokonfigurowane maile najczęściej w laptopie, w komórce i w tablecie. Zatem ew. zmiana hasła powoduje, że komórka podłączona do wifi w firmowej sieci potrafi ubić całą komunikację firmową przez błędne logowania i ban na firmowe IP

 

Wojtek

[behemoth]

ReCaptcha jest kiepskim rozwiązaniem przy cenach rozwiązań typu 2captcha.com