Spis treści

1 Uwierzytelnianie i szyfrowanie

Serwer Axigen obsługuje zaawansowane mechanizmy uwierzytelniania, co oznacza, że może być skonfigurowany tak, aby akceptować wyłącznie połączenia i wiadomości od uwierzytelnionych podmiotów. W celu zmniejszenia ryzyka nieautoryzowanego dostępu i podejrzanych połączeń, Axigen udostępnia następujące metody uwierzytelniania klientów (w określonej kolejności priorytetów):

SSL/TLS – szyfrowanie komunikacji

Wszystkie protokoły komunikacyjne Axigen mogą korzystać z technologii SSL/TLS, która umożliwia wysyłanie zaszyfrowanych wiadomości e-mail przez sieci, zapobiegając przechwyceniu wiadomości tekstowych podczas transmisji od nadawcy do odbiorcy. Ta metoda szyfrowania gwarantuje bezpieczną transmisję danych w sieciach.

Obsługa certyfikatów Let's Encrypt

Począwszy od wersji X2, Axigen może automatycznie generować i odnawiać certyfikaty SSL za pomocą usługi Let's Encrypt. Dla każdego wygenerowanego certyfikatu Axigen podejmie próbę automatycznego odnowienia na 25 dni przed wygaśnięciem certyfikatu.

2 Wielopoziomowa kontrola dostępu

Zatrzymywanie spamerów i zapobieganie atakom typu DoS to jedno z najważniejszych zadań zapewniających bezpieczeństwo serwera pocztowego. Im wcześniej problem zostanie zidentyfikowany w strumieniu poczty, tym lepiej. Dlatego Axigen posiada wbudowaną kontrolę dostępu na poziomie aplikacji (listener TCP), która umożliwia administratorom kontrolowanie parametrów łączności.

Ponadto administratorzy mogą definiować zestawy adresów IP, które mają określone zestawy reguł stosowanych z różnymi priorytetami, lub zestawy adresów IP, z których połączenia są odrzucane.

3 Kontrola przepływu

Ograniczenia kontroli przepływu można definiować jako uzupełnienie reguł kontroli dostępu, aby zapobiec przeciążeniu serwera i pamięci masowej, a także chronić serwer przed atakami DDoS.

Ograniczenie maksymalnej liczby jednoczesnych połączeń

Możliwość ograniczenia całkowitej liczby jednoczesnych połączeń, które usługa może akceptować, oraz maksymalnej liczby jednoczesnych połączeń akceptowanych z tego samego adresu IP w celu uniknięcia ataków z jednego źródła. Ponadto uprzywilejowane grupy adresów IP (zaufane serwery) mogą mieć różne polityki limitów połączeń.

Ograniczenie maksymalnej szybkości połączeń przychodzących

Możliwość ograniczenia całkowitej liczby połączeń na jednostkę czasu, które usługa może akceptować, oraz maksymalnej liczby połączeń na jednostkę czasu akceptowanych z tego samego adresu IP. Domyślny interwał czasowy wynosi 1 minutę.

Selektywne ograniczenie maksymalnego rozmiaru wiadomości

Serwer można skonfigurować tak, aby akceptował różne maksymalne rozmiary wiadomości na podstawie:

4 SPF (Sender Policy Framework)

Axigen wykorzystuje oparty na standardach moduł weryfikacji Sender Policy Framework (SPF) do walidacji nadawcy (jeśli zdalna domena jest odpowiednio skonfigurowana z informacjami SPF). SPF chroni użytkowników poczty e-mail przed niechcianymi wiadomościami, weryfikując, czy serwer wysyłający jest uprawniony do wysyłania poczty w imieniu danej domeny.

SRS: Sender Rewriting Scheme

Począwszy od Axigen X3 Update 2, wprowadzono schemat SRS (Sender Rewriting Scheme). Jest to mechanizm przepisywania adresu nadawcy w kopercie wiadomości e-mail w celu ponownego wysłania. Schemat pozwala na użycie własnej domeny, w której masz kontrolę nad odpowiednimi rekordami SPF.

5 DKIM (DomainKeys Identified Mail)

Integralność wiadomości w Axigen może być weryfikowana, jeśli serwer źródłowy użył DKIM do ich podpisania. Wiadomości pochodzące lokalnie są podpisywane przez Axigen, aby umożliwić walidację przez zdalne serwery zgodne z DKIM (wiele serwerów odbierających przypisuje wyższy wynik spamu niepodpisanym wiadomościom).

Jak działa DKIM?

DKIM działa poprzez dodanie podpisu cyfrowego do nagłówków wiadomości e-mail, który jest następnie weryfikowany względem publicznego klucza kryptograficznego w DNS nadawcy. Proces ten zapewnia:

• Potwierdzenie autentyczności nadawcy
• Gwarancję integralności wiadomości (niemodyfikowana w tranzycie)
• Możliwość śledzenia źródła wiadomości

6 DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC to protokół uwierzytelniania i raportowania poczty e-mail, który działa na szczycie SPF i DKIM, dodając następujące elementy:

• Powiązanie z nazwą domeny autora w nagłówku wiadomości e-mail
• Opublikowane polityki dotyczące obsługi błędów uwierzytelniania przez odbiorców
• Raportowanie od odbiorców do nadawców

DMARC pomaga monitorować i ulepszać ochronę domeny przed szkodliwymi wiadomościami e-mail. Działa poprzez dodanie warstwy zabezpieczeń ponad SPF i DKIM. Jeśli oba mechanizmy zawiodą, protokół DMARC również zawiedzie.

Axigen można również zintegrować z openDMARC przez Milter V6, co zapewnia jeszcze bardziej zaawansowaną kontrolę nad politykami DMARC.

7 Czarne i białe listy (Blacklisting / Whitelisting)

Czarne listy (Blacklisting)

Funkcja czarnej listy umożliwia trwałe odrzucanie wiadomości e-mail pochodzących od niezaufanych nadawców. Może być definiowana globalnie przez administratora (na poziomie serwera) i dodatkowo doprecyzowywana przez użytkowników zgodnie z ich osobistymi potrzebami (przez interfejs WebMail).

Białe listy (Whitelisting)

Administratorzy mogą również definiować białe listy w celu trwałego akceptowania wiadomości e-mail pochodzących z zaufanych źródeł, takich jak partnerzy biznesowi lub zdalne biura.

8 Greylisting

Funkcja Greylisting umożliwia serwerowi Axigen automatyczne odrzucanie wiadomości od nieznanych nadawców/adresów IP z tymczasowym komunikatem o błędzie. W przeciwieństwie do legalnych serwerów e-mail, większość źródeł spamu nie podejmie próby ponownego wysłania odrzuconych wiadomości, co zmniejsza liczbę niechcianych wiadomości e-mail otrzymywanych przez serwer Axigen.

9 Filtrowanie według kraju (Country Filtering)

Na podstawie bazy danych IP-do-kraju administratorzy mogą blokować wszystkie wiadomości e-mail pochodzące z niezaufanych krajów. Alternatywnie mogą akceptować wiadomości e-mail pochodzące wyłącznie z wybranych krajów.

10 DNSBL (DNS Blackhole Lists)

Administratorzy weryfikują adresy IP nadawców względem wybranej listy DNSBL (DNS Blacklists) w celu blokowania wiadomości e-mail. Jednocześnie mogą również wybrać opcję pomijania tej walidacji dla niestandardowo zdefiniowanych zakresów adresów IP.

Premium DNSBL od Axigen (aDNSBL)

Dla zwiększonej ochrony można dodać usługi premium aDNSBL od Axigen. Jest to lista oparta na adresach IP, obsługiwana i kuratorowana przez Axigen, która może być używana natywnie przez wszystkich klientów Axigen.

11 URIBL (URI Block Lists)

Administratorzy weryfikują również identyfikatory URI zawarte w przychodzących wiadomościach e-mail względem listy blokującej opartej na domenach, która sprawdza, czy identyfikatory URI są oznaczone jako źródła phishingu. Jeśli tak, wiadomość e-mail jest odrzucana, oznaczana lub dostarczana w zależności od konfiguracji administratora.

aURIBL od Axigen

Lista blokująca URI od Axigen (aURIBL) agreguje dane z kilku komercyjnych list źródeł phishingu, a także z badań Axigen nad zagrożeniami. To rozszerzenie jest obowiązkowym dodatkiem do istniejącej instalacji Axigen w celu zapobiegania phishingowi.

12 Kontrole DNS

Dodatkowe walidacje, które można uruchomić w celu odrzucenia spamu, obejmują:

• Sprawdzanie wpisów MX – weryfikacja, czy domena źródłowa ma prawidłowe rekordy MX
• Sprawdzanie odwrotnego DNS (rDNS) – weryfikacja, czy adres IP źródłowy ma prawidłowy wpis PTR

13 Filtrowanie antywirusowe

Zaawansowany system filtrowania treści Axigen umożliwia administratorowi systemu definiowanie zestawu filtrów i priorytetów na poziomie serwera (bramkowy serwer SMTP lub usługa SMTP Receiving/SMTP Sending) lub na poziomie domeny/użytkownika (Processing), oferując tym samym niezrównaną elastyczność w konfigurowaniu polityk bezpieczeństwa.

Wbudowana ochrona przed złośliwym oprogramowaniem

Axigen oferuje skalowalną ochronę premium przed zagrożeniami związanymi ze złośliwym oprogramowaniem, wykorzystując zaawansowany silnik wykrywania malware od Bitdefender.

Integracja przez Milter

Axigen dodatkowo oferuje obsługę Milter, rozszerzając tym samym pulę aplikacji bezpieczeństwa przez integrację z praktycznie każdą aplikacją antywirusową lub antyspamową obsługującą Milter.

Przykład konfiguracji wielopoziomowej:

14 Filtrowanie antyspamowe

Po zastosowaniu wyżej wymienionych metod antyspamowych, pozostały ruch jest dalej przepuszczany przez proces filtrowania treści (oparty na punktacji). Administratorzy mogą ustawić progi, po przekroczeniu których zostaną zastosowane odpowiednie akcje odrzucenia.

Inteligentna technologia antyspamowa

System wykorzystuje zaawansowane algorytmy uczenia maszynowego do identyfikacji wzorców spamu i dostosowywania się do nowych technik spamerów.

15 AxiMilterLLM: Rozszerzenie bezpieczeństwa oparte na AI NOWOŚĆ

Podczas gdy Axigen już zawiera szeroki zakres funkcji bezpieczeństwa – od uwierzytelniania i szyfrowania po antyspam i filtrowanie – atakujący nieustannie szukają sposobów na obejście zabezpieczeń opartych na regułach. Niektóre zagrożenia opierają się na kontekście, języku lub intencji, których tradycyjne filtry nie zawsze są w stanie wychwycić.

16 Filtrowana poczta i potwierdzanie tożsamości

Filtrowana poczta umożliwia użytkownikom końcowym stosowanie specjalnego traktowania (odrzucenie, wysłanie NDR, przechowywanie w specjalnym folderze "Filtered Email" i/lub zastosowanie Identity Confirmation) dla wiadomości e-mail od nowych/niezaufanych nadawców.

Axigen Identity Confirmation©

Jest to metoda antyspamowa typu Challenge/Response. Umożliwia użytkownikom skuteczne blokowanie niechcianych wiadomości przed dotarciem do skrzynki odbiorczej poprzez przechwytywanie przychodzących wiadomości e-mail i wymaganie od nowych/nieznanych nadawców potwierdzenia swojej tożsamości, jednocześnie pozwalając na przejście legalnej komunikacji.

17 Polityki akceptacji / wysyłania wiadomości

Serwer Axigen zawiera zaawansowany silnik polityk akceptacji/wysyłania wiadomości. Oto niektóre przykłady:

Odrzucanie:

• Wiadomości e-mail od użytkowników podszywających się (dopasowanie uwierzytelniania)
• Wiadomości e-mail od nieuwierzytelnionych użytkowników
• Wiadomości podejrzane o spam (np. wiadomości w pętli, wiadomości ze zbyt dużymi załącznikami)

Wymaganie walidacji:

• Dla wiadomości e-mail pochodzących z nieznanych źródeł

Akceptowanie:

• Wiadomości e-mail pochodzących z zaufanych źródeł (Whitelisting)
• Tylko bezpiecznych połączeń

18 Polityki routingu

Wirtualny routing

Axigen umożliwia przypisanie różnych wychodzących adresów IP do każdej domeny. Zablokowane adresy IP będą wpływać tylko na powiązaną domenę, a nie na inne domeny działające na tym samym serwerze.

Wbudowana pamięć podręczna DNS

Odpowiedzi na zapytania DNS są buforowane; kolejne zapytania są rozwiązywane lokalnie zamiast być ponownie wysyłane przez sieć.

19 Ochrona przed podszywaniem się (Anti-Impersonation)

Dzięki opcjom bezpieczeństwa serwera e-mail Axigen można również wymusić uwierzytelnianie użytkownika podczas przesyłania wiadomości i zweryfikować, czy nagłówek nadawcy odpowiada poświadczeniom uwierzytelniania. Zapobiega to próbom podszywania się z lokalnych kont.

Parametry wiadomości i połączeń dla polityk bezpieczeństwa:

20 Wymuszanie bezpiecznych haseł

Definiowanie polityk siły hasła (minimalna długość hasła, wymagane zestawy znaków itp.), ograniczając użytkownikom możliwość ustawiania prostych haseł.

21 Weryfikacja dwuetapowa (2FA)

Axigen umożliwia administratorom włączenie (a nawet wymuszenie) weryfikacji dwuetapowej (znanej również jako uwierzytelnianie dwuskładnikowe lub po prostu 2FA) dla użytkowników WebMail. Po włączeniu użytkownicy mogą logować się za pomocą kompatybilnych aplikacji TOTP (Time-based One-time Password).

Metody dostarczania kodów:

• Aplikacja TOTP – najbezpieczniejsza opcja
• SMS – kod wysyłany na telefon
• E-mail – kod wysyłany na alternatywny adres

22 Ochrona przed atakami brute-force

Serwer pocztowy Axigen oferuje również ochronę przed atakami brute-force poprzez integrację z zewnętrznymi narzędziami bezpieczeństwa.

Integracja Fail2Ban (Linux)

Fail2Ban działa jako system wykrywania i zapobiegania włamaniom, który monitoruje pliki logów (np. security.txt Axigen) i blokuje adresy IP wykonujące zbyt wiele prób logowania.

Integracja RdpGuard (Windows)

RdpGuard działa w podobny sposób, monitorując logi serwera i wykrywając nieudane próby logowania. Administratorzy mogą następnie ustawić liczbę dozwolonych nieudanych prób przed zablokowaniem adresu IP atakującego.

✓ Podsumowanie

Axigen to kompleksowe rozwiązanie serwerowe dla poczty elektronicznej, które oferuje wielowarstwowe podejście do bezpieczeństwa. Od podstawowego uwierzytelniania i szyfrowania, przez zaawansowane mechanizmy weryfikacji nadawcy (SPF, DKIM, DMARC), po nowoczesne rozwiązania oparte na sztucznej inteligencji (AxiMilterLLM) – system zapewnia ochronę na każdym etapie przetwarzania poczty.

Dzięki tym funkcjom Axigen jest idealnym wyborem dla przedsiębiorstw, dostawców usług (MSP), a także instytucji rządowych i edukacyjnych, które wymagają najwyższego poziomu bezpieczeństwa poczty elektronicznej.