Email Security - telepítési útmutató

A következő útmutatóból megtudhatja, hogyan állíthatja be a Heimdal™ Email Security szolgáltatást a DNS-en: 

  1. MX Records 

  2. SmartHost 

  3. SPF 

  4. Heimdal™ e-mail biztonsági IP-címek 

  5. További konfigurációk 

  6. A Heimdal™ Email Security beállítása felhőalapú levelezési szolgáltatókkal 

Heimdal™ Email Security felhasználói felület: https://dashboard.heimdalsecurity.com 

MX rekordok (szükséges a bejövő e-mailek vizsgálatához): 
Mindkét nevezésnél 10-es prioritást ajánlunk. 

  • eu-esec-01.heimdalsecurity.com 

  • eu-esec-02.heimdalsecurity.com 

SmartHost (szükséges a kimenő e-mailek vizsgálatához): 

  • eu-esec-outbound.heimdalsecurity.com / port 25, 587 or 2525 

SPF (kimenő e-mailek validációjához használatos): 
Ügyeljen arra, hogy NE távolítsa el a 3rd party szolgáltatól érkező e-maileket a domain nevében!tartalmazza: spf-esec.heimdalsecurity.com 
Példa: v=spf1 include:spf-esec.heimdalsecurity.com -all 

Heimdal™ Email Security IP címek: 

A Heimdal™ Email Security-nek képesnek kell lennie arra, hogy e-maileket kézbesítsen a levelezőrendszerébe.  Ellenőrizze a tűzfal beállításait, és csak ezekről az IP-címekről engedélyezze az SMTP-t. (Port 25 for SMTP traffic) 

  • 20.50.183.144 (eu-esec-01.heimdalsecurity.com) 

  • 20.50.183.146 (eu-esec-01.heimdalsecurity.com) 

  • 20.50.183.145 (eu-esec-02.heimdalsecurity.com) 

  • 20.50.183.147 (eu-esec-02.heimdalsecurity.com) 

  • 20.50.183.148 (eu-esec-outbound.heimdalsecurity.com) 

  • 20.50.183.149 (eu-esec-outbound.heimdalsecurity.com) 

  • 20.50.183.150 

  • 20.50.183.151 

  • 20.88.177.208 

  • 20.88.177.209 

Ha tűzfala speciális szabályokat tartalmaz a bejövő és a kimenő forgalomra vonatkozóan, a következőket kell engedélyezőlistára tennie: 

  • 20.50.183.144/29 (25-ös port a bejövő forgalomhoz)  

  • 20.50.183.144/29 (minden port a kimenő forgalom számára) 

 Az Inbound/Outbound  beállítások megtekintéséhez - amíg be van jelentkezve a felhasználói felületre - lépjen a Settings fülre, válassza ki a kérdéses tartományt, tekintse át a tartománykonfigurációt, és győződjön meg arról, hogy az Inbound/bejövő és Outbound/kimenő szerverek pontosak. 

További konfiguráció 

Bejövő levélirány váltása 

A konfiguráció befejezése után a vállalat MX rekordjai frissíthetők, hogy közvetlenül a Heimdal™ Email Security szolgáltatásba kerüljenek. Kérjük, vegye figyelembe, hogy az MX rekordok frissítése néhány percet vehet igénybe. 

Az ehhez a környezethez tartozó MX rekordok az Important Information section részben találhatók. 

Érvényesítés 

A Message logs-ok használhatók az e-mailek kézbesítésének ellenőrzésére, miután az MX rekordokat a Centium email security-n keresztüli továbbításra módosították. 

A Heimdal™ Email Security beállítása felhőalapú e-mail szolgáltató esetén 

Office 365 

Az Office 365 minden bejövő e-mailen SPF-ellenőrzést végez, és ezért van szükség egy átviteli szabály konfigurálására, hogy a Heimdal™ Email Security levéltovábbítóként szerepeljen az engedélyezőlistán. A Heimdal™ Email Security SPF-ellenőrzést végez minden bejövő levélnél. 

A konfigurálás az Exchange Admin Centerben (EAC) az Exchange admin > Mail flow > Rules menüpontnál, a következő IP-címek engedélyezési listához való hozzáadásával történik: 

  • 20.50.183.144 (eu-esec-01.heimdalsecurity.com) 

  • 20.50.183.146 (eu-esec-01.heimdalsecurity.com) 

  • 20.50.183.145 (eu-esec-02.heimdalsecurity.com) 

  • 20.50.183.147 (eu-esec-02.heimdalsecurity.com) 

  • 20.50.183.148 (eu-esec-outbound.heimdalsecurity.com) 

  • 20.50.183.149 (eu-esec-outbound.heimdalsecurity.com) 

  • 20.50.183.150 

  • 20.50.183.151 

  • 20.88.177.208 

  • 20.88.177.209 

Ha tűzfala speciális szabályokat tartalmaz a bejövő és a kimenő forgalomra vonatkozóan, a következőket kell engedélyezőlistára tennie: 

  • 20.50.183.133/29 (port 25 for Inbound traffic)  

  • 20.50.183.144/29 (all ports for Outbound traffic) 

A harmadik féltől származó felhőszolgáltatás Office 365-tel való használatáról a következő linken olvashat bővebben: https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/manage-mail-flow-using-third-party-cloud#scenario-1---mx-record-points-to-third-party-spam-filtering 

G Suite 

Bejövő konfigurálás a G Suite-ban: A G Suite minden bejövő e-mailen SPF-ellenőrzést végez, ezért szükséges a bejövő átjáró konfigurálása és a Heimdal™ Email Security e-mail-továbbítóként való engedélyezőlistára kerülése. A Heimdal™ Email Security SPF-ellenőrzést végez minden bejövő e-mailen. A konfiguráció úgy történik, hogy az Apps -> G Suite -> Settings for Gmail -> Advanced settings -> Spam, Phishing and malware -> Inbound Gateway oldalra navigál, és hozzáadja a következő IP-címeket az engedélyezőlistához: 

  • 20.50.183.144 (eu-esec-01.heimdalsecurity.com) 

  • 20.50.183.146 (eu-esec-01.heimdalsecurity.com) 

  • 20.50.183.145 (eu-esec-02.heimdalsecurity.com) 

  • 20.50.183.147 (eu-esec-02.heimdalsecurity.com) 

  • 20.50.183.148 (eu-esec-outbound.heimdalsecurity.com) 

  • 20.50.183.149 (eu-esec-outbound.heimdalsecurity.com) 

  • 20.50.183.150 

  • 20.50.183.151 

  • 20.88.177.208 

  • 20.88.177.209 

Ha tűzfala speciális szabályokat tartalmaz a bejövő és a kimenő forgalomra vonatkozóan, a következőket kell engedélyezőlistára tennie: 

  • 20.50.183.133/29 (25-ös port a bejövő forgalomhoz)  

  • 20.50.183.144/29 (minden port a kimenő forgalom számára) 

Javasoljuk, hogy utasítson vissza minden más e-mailt, és kérjen TLS-t. 

A bejövő e-mail átjáró beállításáról az alábbi linken olvashat bővebben: https://support.google.com/a/answer/60730?hl=en 

A következő lépés a Heimdal™ Email Security konfigurálása. 

Tekintse meg a Heimdal™ Email Security beállítását és konfigurálását a következő videóban: 

https://youtu.be/Dijm7wqj07U  

Az alábbiakban információkat olvashat arról, hogyan működik az Anti Spoofing Mechanisms, és az SPF, a DKIM vagy a DMARC.  

◦        SPF (Sender Policy Framework) 
Bővebben az SPF-ről: https://en.wikipedia.org/wiki/Sender_Policy_Framework 
◦        DKIM (Domain Keys Identified Mail) 
Bővebben az DKIM-ről: https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail 
◦        DMARC (Domain-based Message Authentication, Reporting & Conformance) 
További információ a DMARC-ról: https://dmarc.org/wiki/FAQ 

**SPF (A Heimdal™ Email Security kimenő küldő rendszert használó tartományokhoz szükséges) 

Az SPF rekordok alapvetően elmondják a világnak, hogy mely gazdagépek vagy IP-címek küldhetnek e-mailt a domainjéhez. Amikor az e-mail szerverek olyan e-mailt kapnak, amely állítólag az Ön domainjéből származik, megnézhetik az SPF rekordot, és azt, hogy a küldő szerver szerepel-e a recordban. Javasoljuk, hogy állítson be egy SPF rekordot, amely tartalmazza a Heimdal™ Email Security-t. Ezzel nemcsak hivatalosabbnak tűnik az e-mailje, de így kisebb valószínűséggel kerül a spam mappákba, segít megvédeni domainjét a támadóktól, akik hamis fejlécekkel küldenek e-maileket, és úgy tesznek, mintha Ön volna. 

A Heimdal™ Email Security SPF rekord a következőket tartalmazza:_spf.centiumsecurity.dk 

Az „include:_spf.centiumsecurity.dk” azt jelenti, hogy Ön engedélyezi a Heimdal™ Email Security szervereinek, hogy az Ön domainje nevében működjön. Ha meg szeretne tartani egy meglévő SPF rekordot, egyszerűen adja hozzá az „include:_spf.centiumsecurity.dk” elemet közvetlenül a „v=spf1” után.  

**DKIM 
A DKIM egy e-mail-hitelesítési módszer, amely kriptográfiailag ellenőrzi, hogy az e-maileket megbízható kiszolgálók küldték-e, és hamisítatlanok-e. Alapvetően, amikor egy szerver e-mailt küld a domainjéhez, kiszámolja az e-mail tartalmának titkosított kivonatát egy privát kulccsal (ezt csak a megbízható szerverek ismerik), és hozzáadja az e-mailek fejlécéhez DKIM-aláírásként. A fogadó szerver úgy ellenőrzi az e-mailek tartalmát, hogy megkeresi a megfelelő nyilvános kulcsot a domain DNS-rekordjaiban, dekódolja a titkosított kivonatot, a beérkezett e-mailek tartalma alapján új hash-t számít ki, és megnézi, hogy a visszafejtett hash megegyezik-e az új hash-sel. Ha van egyezés, akkor az e-mail nem változott, így a DKIM átmegy. Ellenkező esetben a DKIM meghiúsul, és az e-mailt gyanakvással kezelik. 

Fontos: A domainhez tartozó DKIM rekord a következő szintaxis szerint kerül hozzáadásra a domain gazdagépnevéhez: 

selector._domainkey.domainname (szelektor előre meghatározott ascentium {currentdate} ) 

Példa: Ha a domain név defenseas.com, a TXT DKIM nyilvános kulcs hozzáadásra kerül: 

centium{currentdate}._domainkey.defendas.com 

Bonyolultnak tűnhet, de a DKIM megvalósítása a domainben meglehetősen egyszerű a Heimdal™ Email Security alkalmazásban. Miután új tanúsítványt kér a domainhez, a Heimdal™ Email Security létrehoz egy DKIM-kulcspárt, és megmutatja a TXT-rekordot, amelyet hozzá kell adni, ha engedélyezni szeretné a DKIM-aláírást. Ez a rekord tartalmazza a nyilvános kulcsot, és minden tartományban más. Miután hozzáadta a TXT rekordot a domainhez, a „DNS ellenőrzése” funkcióval ellenőrizheti nyilvános DKIM-kulcsát, és sikeres ellenőrzés esetén engedélyezheti a kimenő aláírást. Egyes online szolgáltatások DKIM-ellenőrzést biztosítanak annak tesztelésére, hogy az e-mailjei megfelelően vannak-e DKIM-aláírással aláírva, és e-maileket küldenek egy adott e-mail címre. 

Íme néhány, de több is megtalálható a neten: 

https://www.port25.com/authentication-checker/ 

http://dkimvalidator.com/ 

**DMARC 

A tartományalapú üzenethitelesítés, jelentéskészítés és megfelelőség/ Domain-based Message Authentication, Reporting and Conformance (DMARC) lehetővé teszi, hogy utasítsa a fogadó szervert, hogyan kezelje az Ön domainjéből érkező (vagy érkezni látszó) fogadott e-mailt, amely nem felel meg az SPF és a DKIM e-mail-ellenőrzésnek. 

A DMARC lehetővé teszi, hogy a három előre meghatározott művelet közül válasszon egyet az ellenőrizetlen e-mailekkel kapcsolatban: none, quarantine és reject. 

Egy alap DMARC TXT rekord példa:  v=DMARC1; p=none; rua=mailto:[email protected] 

A „p=” meghatározza a “DMARC-hibás” esetén végrehajtandó műveletet, és itt a „none” lényegében azt jelenti, hogy ne csinálj semmit, fogadd el az e-mailt a szokásos módon. A „rua=” egy opcionális paraméter, amely megadja azt az e-mail címet, amelyre a többi e-mail szolgáltatás összesített jelentéseket küldhet, így láthatja, hogy hány e-mailje hibás DMARC szerint. Ha megbizonyosodott arról, hogy  e-mailjei megfelelnek a DMARC-nak (akár az SPF-, akár a DKIM-engedélyek), akkor érdemes beállítani a „p=quarantine” értéket, amely arra utasítja a fogadó szervert, hogy küldje el a sikertelen e-maileket a spam mappába. Még agresszívebben beállíthatja a „p=reject” értéket úgy, hogy a fogadó szervert egyáltalán ne fogadja el a sikertelen e-maileket. Javasoljuk, hogy dolgozzon a „p=quarantine” vagy akár a „p=reject” mellett, ha úgy gondolja, hogy valószínűleg csalás célpontja lesz. Például a Yahoo, a PayPal és az eBay az „reject” használja, hogy megakadályozza, hogy a spamküldők megszemélyesítsék őket. 

Fontos: A domainhez tartozó DMARC rekord a következő szintaxis szerint kerül hozzáadásra a domain gazdagépnevéhez: 

_dmarc.domainname 

Példa: Ha a domain név defenseas.com, a TXT DMARC rekord hozzáadódik a _dmarc.defendas.com webhelyhez. 

A Heimdal™ Email Security támogatja a DMARC jelentések gyűjtését és jelentését. Egy online szolgáltatás hozzáadásával, amely biztosítja a DMARC varázslónak, hogy tetszés szerint hozza létre a DMARC rekordot. A teljes DMARC-rekordok és -jelentések rendelkezésre bocsátása révén, az Ön szervezete teljes mértékben megvalósította a DMARC-ot az e-mail infrastruktúrájához.  

Példák online szolgáltatásra DMARC rekordvarázslókhoz és jelentéskészítéshez: 

https://dmarcian.com/dmarc-inspector/ 

https://www.dmarcanalyzer.com/  

 *Mellékelve találja a Heimdal™ e-mail biztonsági diagramot, amely megmutatja az e-mailek pontos menetét. 


Tudnivalók az e-mail biztonságról