Serviciul de e-mail este una dintre cele mai frecvente surse de vulnerabilitate într-un cont de găzduire. Dacă adresele asociate domeniului tău sunt configurate greșit, există riscul să fie folosite pentru spam, să ajungă în blacklisturi sau, mai grav, să permită atacuri de tip spoofing sau phishing în numele tău. Din această lecție vei învăța cum să configurezi corect e-mailurile și cum să previi compromiterea conturilor de e-mail.
De ce trebuie securizat e-mailul?
Emailurile trimise de pe domeniul tău pot fi respinse, marcate ca spam sau interceptate dacă nu sunt protejate corespunzător. În plus, accesul la un cont de e-mail înseamnă adesea acces indirect la alte servicii (recuperare parole, autentificări etc.). De aceea, este vital ca serviciul de e-mail să fie tratat cu aceeași rigurozitate ca un cont bancar.
Setările fundamentale: SPF, DKIM și DMARC
Aceste 3 standarde funcționează împreună pentru a valida că e-mailurile trimise în numele domeniului tău sunt autentice.
▣ SPF (Sender Policy Framework)
Definește ce servere au voie să trimită e-mailuri pentru domeniul tău. Se adaugă sub forma unui record TXT în DNS.
Exemplu:
v=spf1 include:_spf.example.com ~all
▣ DKIM (DomainKeys Identified Mail)
Semnează criptografic fiecare e-mail trimis, astfel încât serverele de primire să poată verifica dacă mesajul a fost alterat. Se activează tot prin înregistrări DNS.
▣ DMARC (Domain-based Message Authentication, Reporting and Conformance)
Indică ce să se întâmple cu e-mailurile care nu trec testele SPF/DKIM. Poți seta ca ele să fie respinse, marcate sau raportate.
Exemplu:
v=DMARC1; p=quarantine; rua=mailto:[email protected]
Activează toate cele trei mecanisme pentru o protecție completă și pentru a preveni falsificarea e-mailurilor trimise de pe domeniul tău.
Parole puternice și 2FA pentru conturi de e-mail
Conturile de e-mail trebuie tratate la fel ca orice cont sensibil:
▣ Folosește parole unice și complexe pentru fiecare adresă
▣ Evită parolele generice (parola123, adminmail)
▣ Dacă furnizorul permite, activează autentificarea în doi pași (2FA) pentru accesul la webmail sau clientul IMAP/SMTP
Dacă 2FA nu este disponibil, protejează contul cel puțin prin IP filtering sau autentificare din VPN.
Evită utilizarea e-mailului pentru autentificări administrative
E-mailul principal al domeniului (ex: [email protected]) este adesea vizibil public. Evită să-l folosești pentru autentificare în panoul de control, CMS sau alte aplicații. Creează adrese separate, obscure, pentru autentificare (ex: [email protected]) și păstrează-le private.
Monitorizare și reputație
Monitorizează constant reputația domeniului tău:
▣ Verifică dacă IP-ul de pe care trimiți e-mailuri este într-o blacklistă (ex: cu MXToolbox, Talos, Barracuda)
▣ Analizează dacă e-mailurile ajung în spam sau sunt respinse de Gmail, Outlook etc.
▣ Activează rapoarte DMARC către o adresă de monitorizare – vei primi alerte când cineva trimite e-mailuri neautorizate
Dacă reputația domeniului scade, clienții nu îți vor mai primi e-mailurile, iar recuperarea poate dura săptămâni.
Configurare SSL/TLS pentru e-mail
Asigură-te că serverul de e-mail folosește conexiuni criptate pentru IMAP, SMTP și POP3:
▣ Verifică în panoul de control că certificatele SSL sunt valide pentru domeniul tău
▣ Configurează clientul de e-mail (Thunderbird, Outlook, Apple Mail) să folosească porturile criptate:
▣ IMAP: 993 (SSL)
▣ SMTP: 465 sau 587 (TLS)
▣ Evită porturile nesecurizate (ex: 25 pentru trimitere fără autentificare)
Gestionarea conturilor și filtrarea spamului
▣ Nu păstra adrese de e-mail inactive – șterge-le sau redirecționează-le în mod controlat
▣ Activează filtre de spam și greylisting acolo unde e posibil
▣ Configurează autoresponder și mesaj de eroare clar pentru adrese care nu sunt folosite (ex: no-reply@)
E-mailul este una dintre cele mai frecvente surse de atac și abuz într-un cont de găzduire. Configurarea corectă a înregistrărilor SPF, DKIM și DMARC, împreună cu utilizarea de parole puternice, criptare și monitorizare constantă, te ajută să menții o reputație bună și să previi breșele de securitate. În lecția următoare vom discuta despre backupuri – singura „plasă de siguranță” reală în caz de atac sau eroare umană.