Безопасность FTP, NNTP и других служб IIS

ПРОБЛЕМА

Вы установили на сервере IIS службы SMTP, чтобы веб-мастер мог добавить на сайт страницы, позволяющие клиентам отправлять информацию о тестируемой ими бета-программе через форму по адресу betasupport@mail.ваша_фирма.com. Доступ к этим страницам осуществляется через SSL-соединение. Предоставив форму для отправки информации, можно получить сведения об операционных системах пользователей перед отправкой данных из формы. Форма создает текстовый файл с соответствующими SMTP-заголовками, и он помещается в папку Mailroot\Pickup. Служба SMTP сканирует эту папку на наличие текстовых файлов и перемещает их в папку Mailroot\Queue, пока они не будут доставлены. Серверы IIS и SMTP расположены в Хьюстоне, однако сообщения отправляются в офис в Далласе, в котором расположена команда технической поддержки. Вы заподозрили, что ваш конкурент установил программы для прослушивания пакетов с целью перехвата электронных сообщений, передаваемых между офисами. Вы настроили серверы SMTP в Хьюстоне и Далласе таким образом, §ѕ чтобы в обязательном порядке проводилась аутентификация Windows NT Challenge/Response (Вопрос/ответ), а также установили ограничения IP-адресов для работы с этими офисами. Так как в данном случае служба SMTP используется только одним приложением, вы также сменили номер порта по умолчанию с 25 на 1700 на обоих серверах SMTP. Однако есть подозрение, что ваш конкурент по-прежнему получает важную информацию, перехватывая электронные сообщения с результатами тестирования.

Несмотря на применение аутентификации, смену номеров портов и ограничения IP-адресов, благодаря чему из процесса взаимодействия с двумя серверами SMTP были исключены остальные SMTP-серверы, ваш конкурент дождется того момента, когда два сервера SMTP успешно аутентифицируют друг друга и установят между собой соединение. Он сможет перехватывать весь трафик между ними, когда они начнут передачу сообщений друг другу. Необходимо затребовать шифрование TLS на каждом из серверов (см. раздел "Безопасность исходящего трафика") и использовать 128-битный ключ, чтобы даже при перехвате пакетов злоумышленник не смог прочесть их содержимое.

Ограничение сообщений и получателей. Несмотря на то, что параметры Limit Number of Messages Per Connection (Ограничить число сообщений за сеанс) и Limit Number of Recipients per Message (Ограничить число получателей сообщения), по всей видимости, предотвращают злоупотребление SMTP-сервером, они лишь контролируют процесс доставки сообщений. Максимальное число получателей одного сообщения не предотвращает отправку SMTP-клиентом сообщения с большим количеством адресатов, чем указываемое значение. Вместо этого служба SMTP отправляет сообщение с максимально разрешенным числом получателей, после чего отправляет копию сообщения с оставшимися получателями, повторяя этот процесс до тех пор, пока все получатели не получат копию сообщения. Если число сообщений в очереди превысит максимально допустимое число сообщений за сеанс, то для повышения производительности устанавливаются дополнительные соединения с конечным SMTP-сервером.

Безопасность исходящего трафика

Для всех подключений к удаленным доменам можно установить шифрование исходящего трафика по умолчанию или настроить отдельные домены на свои собственные параметры шифрования во вкладке Delivery (Доставка). Для шифрования всех исходящих сообщений, направленных на удаленные домены, нажмите на кнопку Outbound Security (Безопасность исходящего трафика) в окне Properties (Свойства) и отметьте опцию TLS Encryption (Шифрование TLS) (см. рисунок). Безопасность исходящего трафика определяет аутентификацию SMTP-сервера на другом SMTP-сервере, а также шифрование исходящих сообщений. Чтобы настроить параметры по умолчанию для отдельного удаленного домена, создайте новый домен в области Domains (Домены). Откройте окно Properties для удаленного домена и нажмите на кнопку Outbound Security (Безопасность внешнего трафика). После этого отметьте опцию TLS Encryption (Шифрование TLS) для настройки параметра; помните, что устанавливаемые здесь параметры применяются только к домену, к которому относится данный объект. Для шифрования входящих сообщений нужно установить сертификат сервера. Отправка зашифрованных сообщений не требует сертификата на локальном сервере.

Операторы

Вкладка Security (Безопасность) позволяет наделить ограниченными полномочиями пользователей и группы на SMTP-сервере, однако эти полномочия не относятся к другим аспектам IIS в отличие от других типов операторов.

Несмотря на то, что SMTP-служба является полезным компонентом с интересными возможностями, она очень далека от полнофункционального почтового сервера. Тем не менее, эта служба принесет немалую пользу, если будет обеспечена ее безопасность и правильная настройка.

ПРОБЛЕМА

Используйте ретрансляцию сообщений IIS SMTP для предотвращения прямого взаимодействия спаммеров с сервером Microsoft Exchange, который установлен во внутренней сети и предназначен для получения электронных сообщений от пользователей домена. Если для общего доступа открыта служба SMTP сервера Exchange, пользователи интернета смогут отправлять сообщения прямо на него. Независимо от ситуации настоятельно не рекомендуется открывать прямой доступ к серверу Exchange. Для этого установите службу ретрансляции IIS SMTP и вместо общего доступа к службе SMTP сервера Exchange откройте доступ к службе IIS SMTP. Теперь, когда почта, направленная на ваш_домен.com, дойдет до внешнего интерфейса сетевого экрана, она будет перенаправлена на ретранслятор SMTP, который, в свою очередь, передаст ее на сервер Exchange. Теперь следует настроить сервер Exchange на отправку исходящих почтовых сообщений SMTP на сервер ретрансляции IIS SMTP, чтобы тот перенаправлял их в интернет. При такой конфигурации службе SMTP сервера Exchange никогда не придется взаимодействовать с сервером SMTP в интернете.

Для безопасности этой конфигурации разрешите серверу IIS SMTP перенаправление сообщений только на ваши собственные домены. При разрешении перенаправления входящей почты на все домены вы столкнетесь с тысячами сообщений спаммеров, которые будут получены, скорее всего, уже через несколько дней (спаммеры не упустят возможности воспользоваться открытым почтовым ретранслятором). Конфигурация по умолчанию позволяет всем аутентифицированным компьютерам осуществлять перенаправление сообщений через сервер, однако требует дополнительных расходов, поэтому лучше разрешить перенаправление по IP-адресам. Для разрешения использования сервером Exchange сервера IIS SMTP в качестве открытого ретранслятора введите IP-адрес сервера Exchange, чтобы включить опцию Only The List Below (Только для следующих адресов). Разрешите службе IIS SMTP играть роль открытого ретранслятора для сервера Exchange, так как ему нужно отправлять почту SMTP на все почтовые домены интернета. Запретите ретрансляцию входящих сообщений, настроив сервер на перенаправление сообщений, адресованных только на собственный домен.

В консоли Internet Services Manager (Диспетчер служб интернета) откройте узел Default SMTP Virtual Server (Виртуальный сервер SMTP по умолчанию). Щелкните правой кнопкой на узле Domains (Домены), выберите New\Domain (Создать\Домен). Выберите опцию Remote (Удаленный) и нажмите на кнопку Next (Далее). Введите имя почтового домена и нажмите на кнопку Finish (Готово). Дважды щелкните на новом имени Remote Domain (Удаленный домен). Отметьте опцию Allow Incoming Mail to Be Relayed to This Domain (Разрешить перенаправление входящей почты на этот домен), чтобы входящая почта, направленная на другие домены, игнорировалась ретранслятором SMTP. Далее в области Route domain (Маршрут) выберите Forward All Mail to Smart Host (Перенаправлять всю почту на нужный домен). Введите IP-адрес сервера Exchange в текстовом поле под данной опцией в скобках, например, [ 192.168.1.254 ].

Преимуществом использования такой конфигурации является возможность отключения сервера Exchange для настройки без потери входящей почты. Повысить устойчивость к ошибкам можно, установив дополнительные серверы IIS SMTP. Дополнительный почтовый ретранслятор для фильтрации электронной почты позволит исключить нелегальные массовые рассылки на сервер Exchange.