A következő útmutatóból megtudhatja, hogyan állíthatja be a Heimdal™ Email Security szolgáltatást a DNS-en:
Heimdal™ e-mail biztonsági IP-címek
További konfigurációk
A Heimdal™ Email Security beállítása felhőalapú levelezési szolgáltatókkal
Heimdal™ Email Security felhasználói felület: https://dashboard.heimdalsecurity.com
MX rekordok (szükséges a bejövő e-mailek vizsgálatához):
Mindkét nevezésnél 10-es prioritást ajánlunk.
eu-esec-01.heimdalsecurity.com
eu-esec-02.heimdalsecurity.com
SmartHost (szükséges a kimenő e-mailek vizsgálatához):
eu-esec-outbound.heimdalsecurity.com / port 25, 587 or 2525
SPF (kimenő e-mailek validációjához használatos):
Ügyeljen arra, hogy NE távolítsa el a 3rd party szolgáltatól érkező e-maileket a domain nevében!tartalmazza: spf-esec.heimdalsecurity.com
Példa: v=spf1 include:spf-esec.heimdalsecurity.com -all
Heimdal™ Email Security IP címek:
A Heimdal™ Email Security-nek képesnek kell lennie arra, hogy e-maileket kézbesítsen a levelezőrendszerébe. Ellenőrizze a tűzfal beállításait, és csak ezekről az IP-címekről engedélyezze az SMTP-t. (Port 25 for SMTP traffic)
20.50.183.144 (eu-esec-01.heimdalsecurity.com)
20.50.183.146 (eu-esec-01.heimdalsecurity.com)
20.50.183.145 (eu-esec-02.heimdalsecurity.com)
20.50.183.147 (eu-esec-02.heimdalsecurity.com)
20.50.183.148 (eu-esec-outbound.heimdalsecurity.com)
20.50.183.149 (eu-esec-outbound.heimdalsecurity.com)
20.50.183.150
20.50.183.151
20.88.177.208
20.88.177.209
Ha tűzfala speciális szabályokat tartalmaz a bejövő és a kimenő forgalomra vonatkozóan, a következőket kell engedélyezőlistára tennie:
20.50.183.144/29 (25-ös port a bejövő forgalomhoz)
20.50.183.144/29 (minden port a kimenő forgalom számára)
Az Inbound/Outbound beállítások megtekintéséhez - amíg be van jelentkezve a felhasználói felületre - lépjen a Settings fülre, válassza ki a kérdéses tartományt, tekintse át a tartománykonfigurációt, és győződjön meg arról, hogy az Inbound/bejövő és Outbound/kimenő szerverek pontosak.
További konfiguráció
Bejövő levélirány váltása
A konfiguráció befejezése után a vállalat MX rekordjai frissíthetők, hogy közvetlenül a Heimdal™ Email Security szolgáltatásba kerüljenek. Kérjük, vegye figyelembe, hogy az MX rekordok frissítése néhány percet vehet igénybe.
Az ehhez a környezethez tartozó MX rekordok az Important Information section részben találhatók.
Érvényesítés
A Message logs-ok használhatók az e-mailek kézbesítésének ellenőrzésére, miután az MX rekordokat a Centium email security-n keresztüli továbbításra módosították.
A Heimdal™ Email Security beállítása felhőalapú e-mail szolgáltató esetén
Office 365
Az Office 365 minden bejövő e-mailen SPF-ellenőrzést végez, és ezért van szükség egy átviteli szabály konfigurálására, hogy a Heimdal™ Email Security levéltovábbítóként szerepeljen az engedélyezőlistán. A Heimdal™ Email Security SPF-ellenőrzést végez minden bejövő levélnél.
A konfigurálás az Exchange Admin Centerben (EAC) az Exchange admin > Mail flow > Rules menüpontnál, a következő IP-címek engedélyezési listához való hozzáadásával történik:
20.50.183.144 (eu-esec-01.heimdalsecurity.com)
20.50.183.146 (eu-esec-01.heimdalsecurity.com)
20.50.183.145 (eu-esec-02.heimdalsecurity.com)
20.50.183.147 (eu-esec-02.heimdalsecurity.com)
20.50.183.148 (eu-esec-outbound.heimdalsecurity.com)
20.50.183.149 (eu-esec-outbound.heimdalsecurity.com)
20.50.183.150
20.50.183.151
20.88.177.208
20.88.177.209
Ha tűzfala speciális szabályokat tartalmaz a bejövő és a kimenő forgalomra vonatkozóan, a következőket kell engedélyezőlistára tennie:
20.50.183.133/29 (port 25 for Inbound traffic)
20.50.183.144/29 (all ports for Outbound traffic)
A harmadik féltől származó felhőszolgáltatás Office 365-tel való használatáról a következő linken olvashat bővebben: https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/manage-mail-flow-using-third-party-cloud#scenario-1---mx-record-points-to-third-party-spam-filtering
G Suite
Bejövő konfigurálás a G Suite-ban: A G Suite minden bejövő e-mailen SPF-ellenőrzést végez, ezért szükséges a bejövő átjáró konfigurálása és a Heimdal™ Email Security e-mail-továbbítóként való engedélyezőlistára kerülése. A Heimdal™ Email Security SPF-ellenőrzést végez minden bejövő e-mailen. A konfiguráció úgy történik, hogy az Apps -> G Suite -> Settings for Gmail -> Advanced settings -> Spam, Phishing and malware -> Inbound Gateway oldalra navigál, és hozzáadja a következő IP-címeket az engedélyezőlistához:
20.50.183.144 (eu-esec-01.heimdalsecurity.com)
20.50.183.146 (eu-esec-01.heimdalsecurity.com)
20.50.183.145 (eu-esec-02.heimdalsecurity.com)
20.50.183.147 (eu-esec-02.heimdalsecurity.com)
20.50.183.148 (eu-esec-outbound.heimdalsecurity.com)
20.50.183.149 (eu-esec-outbound.heimdalsecurity.com)
20.50.183.150
20.50.183.151
20.88.177.208
20.88.177.209
Ha tűzfala speciális szabályokat tartalmaz a bejövő és a kimenő forgalomra vonatkozóan, a következőket kell engedélyezőlistára tennie:
20.50.183.133/29 (25-ös port a bejövő forgalomhoz)
20.50.183.144/29 (minden port a kimenő forgalom számára)
Javasoljuk, hogy utasítson vissza minden más e-mailt, és kérjen TLS-t.
A bejövő e-mail átjáró beállításáról az alábbi linken olvashat bővebben: https://support.google.com/a/answer/60730?hl=en
A következő lépés a Heimdal™ Email Security konfigurálása.
Tekintse meg a Heimdal™ Email Security beállítását és konfigurálását a következő videóban:
Az alábbiakban információkat olvashat arról, hogyan működik az Anti Spoofing Mechanisms, és az SPF, a DKIM vagy a DMARC.
◦ SPF (Sender Policy Framework)
Bővebben az SPF-ről: https://en.wikipedia.org/wiki/Sender_Policy_Framework
◦ DKIM (Domain Keys Identified Mail)
Bővebben az DKIM-ről: https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
◦ DMARC (Domain-based Message Authentication, Reporting & Conformance)
További információ a DMARC-ról: https://dmarc.org/wiki/FAQ
**SPF (A Heimdal™ Email Security kimenő küldő rendszert használó tartományokhoz szükséges)
Az SPF rekordok alapvetően elmondják a világnak, hogy mely gazdagépek vagy IP-címek küldhetnek e-mailt a domainjéhez. Amikor az e-mail szerverek olyan e-mailt kapnak, amely állítólag az Ön domainjéből származik, megnézhetik az SPF rekordot, és azt, hogy a küldő szerver szerepel-e a recordban. Javasoljuk, hogy állítson be egy SPF rekordot, amely tartalmazza a Heimdal™ Email Security-t. Ezzel nemcsak hivatalosabbnak tűnik az e-mailje, de így kisebb valószínűséggel kerül a spam mappákba, segít megvédeni domainjét a támadóktól, akik hamis fejlécekkel küldenek e-maileket, és úgy tesznek, mintha Ön volna.
A Heimdal™ Email Security SPF rekord a következőket tartalmazza:_spf.centiumsecurity.dk
Az „include:_spf.centiumsecurity.dk” azt jelenti, hogy Ön engedélyezi a Heimdal™ Email Security szervereinek, hogy az Ön domainje nevében működjön. Ha meg szeretne tartani egy meglévő SPF rekordot, egyszerűen adja hozzá az „include:_spf.centiumsecurity.dk” elemet közvetlenül a „v=spf1” után.
**DKIM
A DKIM egy e-mail-hitelesítési módszer, amely kriptográfiailag ellenőrzi, hogy az e-maileket megbízható kiszolgálók küldték-e, és hamisítatlanok-e. Alapvetően, amikor egy szerver e-mailt küld a domainjéhez, kiszámolja az e-mail tartalmának titkosított kivonatát egy privát kulccsal (ezt csak a megbízható szerverek ismerik), és hozzáadja az e-mailek fejlécéhez DKIM-aláírásként. A fogadó szerver úgy ellenőrzi az e-mailek tartalmát, hogy megkeresi a megfelelő nyilvános kulcsot a domain DNS-rekordjaiban, dekódolja a titkosított kivonatot, a beérkezett e-mailek tartalma alapján új hash-t számít ki, és megnézi, hogy a visszafejtett hash megegyezik-e az új hash-sel. Ha van egyezés, akkor az e-mail nem változott, így a DKIM átmegy. Ellenkező esetben a DKIM meghiúsul, és az e-mailt gyanakvással kezelik.
Fontos: A domainhez tartozó DKIM rekord a következő szintaxis szerint kerül hozzáadásra a domain gazdagépnevéhez:
selector._domainkey.domainname (szelektor előre meghatározott ascentium {currentdate} )
Példa: Ha a domain név defenseas.com, a TXT DKIM nyilvános kulcs hozzáadásra kerül:
centium{currentdate}._domainkey.defendas.com
Bonyolultnak tűnhet, de a DKIM megvalósítása a domainben meglehetősen egyszerű a Heimdal™ Email Security alkalmazásban. Miután új tanúsítványt kér a domainhez, a Heimdal™ Email Security létrehoz egy DKIM-kulcspárt, és megmutatja a TXT-rekordot, amelyet hozzá kell adni, ha engedélyezni szeretné a DKIM-aláírást. Ez a rekord tartalmazza a nyilvános kulcsot, és minden tartományban más. Miután hozzáadta a TXT rekordot a domainhez, a „DNS ellenőrzése” funkcióval ellenőrizheti nyilvános DKIM-kulcsát, és sikeres ellenőrzés esetén engedélyezheti a kimenő aláírást. Egyes online szolgáltatások DKIM-ellenőrzést biztosítanak annak tesztelésére, hogy az e-mailjei megfelelően vannak-e DKIM-aláírással aláírva, és e-maileket küldenek egy adott e-mail címre.
Íme néhány, de több is megtalálható a neten:
https://www.port25.com/authentication-checker/
http://dkimvalidator.com/
**DMARC
A tartományalapú üzenethitelesítés, jelentéskészítés és megfelelőség/ Domain-based Message Authentication, Reporting and Conformance (DMARC) lehetővé teszi, hogy utasítsa a fogadó szervert, hogyan kezelje az Ön domainjéből érkező (vagy érkezni látszó) fogadott e-mailt, amely nem felel meg az SPF és a DKIM e-mail-ellenőrzésnek.
A DMARC lehetővé teszi, hogy a három előre meghatározott művelet közül válasszon egyet az ellenőrizetlen e-mailekkel kapcsolatban: none, quarantine és reject.
Egy alap DMARC TXT rekord példa: v=DMARC1; p=none; rua=mailto:[email protected]
A „p=” meghatározza a “DMARC-hibás” esetén végrehajtandó műveletet, és itt a „none” lényegében azt jelenti, hogy ne csinálj semmit, fogadd el az e-mailt a szokásos módon. A „rua=” egy opcionális paraméter, amely megadja azt az e-mail címet, amelyre a többi e-mail szolgáltatás összesített jelentéseket küldhet, így láthatja, hogy hány e-mailje hibás DMARC szerint. Ha megbizonyosodott arról, hogy e-mailjei megfelelnek a DMARC-nak (akár az SPF-, akár a DKIM-engedélyek), akkor érdemes beállítani a „p=quarantine” értéket, amely arra utasítja a fogadó szervert, hogy küldje el a sikertelen e-maileket a spam mappába. Még agresszívebben beállíthatja a „p=reject” értéket úgy, hogy a fogadó szervert egyáltalán ne fogadja el a sikertelen e-maileket. Javasoljuk, hogy dolgozzon a „p=quarantine” vagy akár a „p=reject” mellett, ha úgy gondolja, hogy valószínűleg csalás célpontja lesz. Például a Yahoo, a PayPal és az eBay az „reject” használja, hogy megakadályozza, hogy a spamküldők megszemélyesítsék őket.
Fontos: A domainhez tartozó DMARC rekord a következő szintaxis szerint kerül hozzáadásra a domain gazdagépnevéhez:
_dmarc.domainname
Példa: Ha a domain név defenseas.com, a TXT DMARC rekord hozzáadódik a _dmarc.defendas.com webhelyhez.
A Heimdal™ Email Security támogatja a DMARC jelentések gyűjtését és jelentését. Egy online szolgáltatás hozzáadásával, amely biztosítja a DMARC varázslónak, hogy tetszés szerint hozza létre a DMARC rekordot. A teljes DMARC-rekordok és -jelentések rendelkezésre bocsátása révén, az Ön szervezete teljes mértékben megvalósította a DMARC-ot az e-mail infrastruktúrájához.
Példák online szolgáltatásra DMARC rekordvarázslókhoz és jelentéskészítéshez:
https://dmarcian.com/dmarc-inspector/
https://www.dmarcanalyzer.com/
*Mellékelve találja a Heimdal™ e-mail biztonsági diagramot, amely megmutatja az e-mailek pontos menetét.
