Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Dodatkowe zabezpieczenia usług pocztowych


Rekomendowane odpowiedzi

Opublikowano

Zastanawiam się nad wprowadzeniem jakiegoś dodatkowego zabezpieczenia na firmowym serwerze pocztowym. Chodzi mi o sytuację, gdy ktoś będzie logował się niepoprawnym hasłem. W chwili obecnej korzystam jedynie z fail2ban, ale zastanawiałem się bardziej nad rozwiązaniem, gdzie wymagana byłaby dodatkowa autoryzacja, zwłaszcza w przypadku logowania z nietypowej lokalizacji lub po wielu niepoprawnych próbach logowania (tak jak się odbywa to np. w gmailu).


Czy znacie tego typu rozwiązania i czy ich wprowadzanie ma w ogóle sens?

Opublikowano

Sens średni bo rzeźba będzie. Ewentualnie możesz zrobić jakąś dwuskładnikową autoryzację np. rainloop to obsługuje fajnie.

 

Ewentualnie jak chcesz rzeźbić dalej to wyłączone IPki wszystkie spoza firmy do łączenia się na pocztę + formularz gdzie trzeba wpisać swój e-mail i jak byś zrobił sobie bazę email + numer telefonu ludzi to wysyłka SMS z kodem, który muszą wpisać i dopiero IP z którego się łączą umożliwi połączenie do poczty :D

 

Ale raczej szkoda czasu na takie zabawy :)

Opublikowano
22 godziny temu, Poziomecki napisał:

Sens średni bo rzeźba będzie. Ewentualnie możesz zrobić jakąś dwuskładnikową autoryzację np. rainloop to obsługuje fajnie.


Tutaj konkretnie rzecz w tym, że webmaile to ja mogę pozabezpieczać, chodzi mi natomiast o bezpośrednie próby dostania się na skrzynki przez imap/pop3/smtp

Opublikowano
37 minut temu, theqkash napisał:


Tutaj konkretnie rzecz w tym, że webmaile to ja mogę pozabezpieczać, chodzi mi natomiast o bezpośrednie próby dostania się na skrzynki przez imap/pop3/smtp

 

W ramach Google Apps jeśli chodzi o IMAP/SMTP -- jedyne rozwiązanie to tzw. hasło aplikacji, które jest generowane automatycznie. Teoretycznie jest to zwykłe hasło, tyle że trudniejsze i specjalnie tak wygenerowane, aby niemożliwe było brute-force. No i jak zawsze - fail2ban lub csf, żeby nie było możliwości wielokrotnego zgadywania hasła, that's all.

 

Nie mam pomysłu jak można to sensowniej rozwiązać. Po prostu raz na jakiś czas regularnie zmieniać hasła, kontrolować IP - że nie zmienia się z du*y klasa IP (np. wspomniany SSHGuard), w obrębie której się łączysz do poczty etc.

Opublikowano
W dniu 29/10/2017 o 12:47, theqkash napisał:

Zastanawiam się nad wprowadzeniem jakiegoś dodatkowego zabezpieczenia na firmowym serwerze pocztowym.

 

Wnioskuję że jeśli firmowy serwer poczty to jest większa możliwość kontroli użytkowników, ich wykorzystania usług oraz narzucenia rozwiązań bezpieczeństwa. Sugerowałbym rozważenie certyfikatów co pozwoli na odrzucanie połączeń jeszcze przed możliwością rozpoczęcia konwersacji z wykorzystaniem jednego z wymienionych protokołów. Innym rozwiązaniem  które należałoby także wziąć pod uwagę to vpn.  

Opublikowano

w zasadzie np. cPanel ma swoje, fajnie konfigurowalne cpHulk. Do tego można ustawić wyższy poziom blokad na CSF, żeby tam wpadało coś na stałe. Choć realnie jak klienci są z Polski, to czasem z doświadczenia wiem, że bywa problem z blokadami automatycznymi, bo ludzie mają pokonfigurowane maile najczęściej w laptopie, w komórce i w tablecie. Zatem ew. zmiana hasła powoduje, że komórka podłączona do wifi w firmowej sieci potrafi ubić całą komunikację firmową przez błędne logowania i ban na firmowe IP :)

 

Wojtek

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.