Skocz do zawartości
theqkash

Dodatkowe zabezpieczenia usług pocztowych

Polecane posty

Zastanawiam się nad wprowadzeniem jakiegoś dodatkowego zabezpieczenia na firmowym serwerze pocztowym. Chodzi mi o sytuację, gdy ktoś będzie logował się niepoprawnym hasłem. W chwili obecnej korzystam jedynie z fail2ban, ale zastanawiałem się bardziej nad rozwiązaniem, gdzie wymagana byłaby dodatkowa autoryzacja, zwłaszcza w przypadku logowania z nietypowej lokalizacji lub po wielu niepoprawnych próbach logowania (tak jak się odbywa to np. w gmailu).


Czy znacie tego typu rozwiązania i czy ich wprowadzanie ma w ogóle sens?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sens średni bo rzeźba będzie. Ewentualnie możesz zrobić jakąś dwuskładnikową autoryzację np. rainloop to obsługuje fajnie.

 

Ewentualnie jak chcesz rzeźbić dalej to wyłączone IPki wszystkie spoza firmy do łączenia się na pocztę + formularz gdzie trzeba wpisać swój e-mail i jak byś zrobił sobie bazę email + numer telefonu ludzi to wysyłka SMS z kodem, który muszą wpisać i dopiero IP z którego się łączą umożliwi połączenie do poczty :D

 

Ale raczej szkoda czasu na takie zabawy :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
22 godziny temu, Poziomecki napisał:

Sens średni bo rzeźba będzie. Ewentualnie możesz zrobić jakąś dwuskładnikową autoryzację np. rainloop to obsługuje fajnie.


Tutaj konkretnie rzecz w tym, że webmaile to ja mogę pozabezpieczać, chodzi mi natomiast o bezpośrednie próby dostania się na skrzynki przez imap/pop3/smtp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
37 minut temu, theqkash napisał:


Tutaj konkretnie rzecz w tym, że webmaile to ja mogę pozabezpieczać, chodzi mi natomiast o bezpośrednie próby dostania się na skrzynki przez imap/pop3/smtp

 

W ramach Google Apps jeśli chodzi o IMAP/SMTP -- jedyne rozwiązanie to tzw. hasło aplikacji, które jest generowane automatycznie. Teoretycznie jest to zwykłe hasło, tyle że trudniejsze i specjalnie tak wygenerowane, aby niemożliwe było brute-force. No i jak zawsze - fail2ban lub csf, żeby nie było możliwości wielokrotnego zgadywania hasła, that's all.

 

Nie mam pomysłu jak można to sensowniej rozwiązać. Po prostu raz na jakiś czas regularnie zmieniać hasła, kontrolować IP - że nie zmienia się z du*y klasa IP (np. wspomniany SSHGuard), w obrębie której się łączysz do poczty etc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
W dniu 29/10/2017 o 12:47, theqkash napisał:

Zastanawiam się nad wprowadzeniem jakiegoś dodatkowego zabezpieczenia na firmowym serwerze pocztowym.

 

Wnioskuję że jeśli firmowy serwer poczty to jest większa możliwość kontroli użytkowników, ich wykorzystania usług oraz narzucenia rozwiązań bezpieczeństwa. Sugerowałbym rozważenie certyfikatów co pozwoli na odrzucanie połączeń jeszcze przed możliwością rozpoczęcia konwersacji z wykorzystaniem jednego z wymienionych protokołów. Innym rozwiązaniem  które należałoby także wziąć pod uwagę to vpn.  

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

w zasadzie np. cPanel ma swoje, fajnie konfigurowalne cpHulk. Do tego można ustawić wyższy poziom blokad na CSF, żeby tam wpadało coś na stałe. Choć realnie jak klienci są z Polski, to czasem z doświadczenia wiem, że bywa problem z blokadami automatycznymi, bo ludzie mają pokonfigurowane maile najczęściej w laptopie, w komórce i w tablecie. Zatem ew. zmiana hasła powoduje, że komórka podłączona do wifi w firmowej sieci potrafi ubić całą komunikację firmową przez błędne logowania i ban na firmowe IP :)

 

Wojtek

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ReCaptcha jest kiepskim rozwiązaniem przy cenach rozwiązań typu 2captcha.com

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dołącz do rozmowy

Możesz pisać i zarejestrować się później. Jeśli masz konto,Zaloguj się teraz, aby publikować na swoim koncie.

Gość
Odpowiedz...

×   Wklejony jako tekst z formatowaniem.   Wklej jako zwykły tekst

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.


  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.

×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.