Para aumentar o nível de segurança da instalação do Kerio Connect, é necessário definir determinadas configurações de controle de segurança. Para impedir a repetição de ataques de dicionário dos vários hosts remetentes, você pode restringir a comunicação no lado do firewall; impor uma forte senha e política de segurança; ativar a proteção DKIM e antifalsificação; configurar a criptografia de dados.
Configurando seu firewall
Se você instalar o Kerio Connect em uma rede local atrás de um firewall, mapeie essas portas da seguinte maneira:
| Serviço (porta padrão) | Conexão de entrada |
| SMTP (25) | permitir |
| SMTPS (465) | permitir |
| Envio SMTP (587) | permitir |
| POP3 (110) | negar |
| POP3S (995) | permitir |
| IMAP (143) | negar |
| IMAPS (993) | permitir |
| NNTP (119) | negar |
| NNTPS (563) | permitir |
| LDAP (389) | negar |
| LDAPS (636) | permitir |
| HTTP (80, 4040, 8800) | negar |
| HTTPS (443, 4040, 8843) | permitir |
Usando grupos de endereços IP, você pode definir uma lista de endereços IP que podem acessar um serviço específico. Por exemplo, se houver apenas usuários selecionados na empresa que usam IMAP (Internet Message Access Protocol) ou POP (Post Office Protocol), você poderá permitir o acesso apenas aos endereços IP desses usuários. Você também pode limitar o número máximo de conexões simultâneas.
Política de senha
Leia a política de senha abaixo para obter informações detalhadas sobre a configuração de senha dos usuários.
Senhas de usuário fortes devem ser longas e complexas. As diretrizes a seguir podem ajudá-lo a aconselhar seus usuários:
▪ As senhas devem ter pelo menos 8 caracteres.
▪ As senhas devem conter todos os seguintes itens:
- Letras minúsculas
- Letras maiúsculas
- Números
- Caracteres especiais
▪ Os usuários devem alterar suas senhas frequentemente.
NOTA
NÃO armazene senhas como texto sem formatação em Descrição ou qualquer outro campo acessível ao público.
Configurar uma conexão segura com o Kerio Connect
O Kerio Connect pode fazer um dos seguintes:
▪ Autenticação de usuário segura.
▪ Criptografe toda a comunicação.
Vá para Configuração > Segurança > Política de Segurança para selecionar sua política de segurança preferida.
Você pode definir um grupo de endereços IP que podem ser autenticados de maneira insegura (por exemplo, de redes locais).
Protegendo a autenticação do usuário
Se você selecionar a opção Exigir autenticação segura, os usuários deverão se autenticar com segurança ao acessar o Kerio Connect.
Você pode selecionar qualquer um dos seguintes métodos de autenticação:
• CRAM-MD5 - autenticação de senha usando resumos MD5.
• DIGEST-MD5 - autenticação de senha usando resumos MD5.
• NTLM - use somente com o Active Directory.
• Túnel SSL - se nenhum método de autenticação for usado.
NOTA
Se você selecionar mais de um método, o Kerio Connect executará o primeiro método disponível.
Se as senhas dos usuários forem salvas no formato SHA (Secure Hash Algorithm):
• Selecione PLAIN ou LOGIN.
• Não mapeie usuários de um serviço de diretório.
Autenticando mensagens com DKIM
O DomainKeys Identified Mail (DKIM) assina as mensagens enviadas do Kerio Connect com uma assinatura exclusiva para identificar o remetente. Os usuários assumem a responsabilidade pelas mensagens enviadas e os destinatários têm certeza de que as mensagens vieram de usuários verificados (recuperando sua chave pública).
Para obter mais informações, consulte Configurando o DNS para DKIM no Kerio Connect.
Ativando o Anti-Spoofing
Embora não faça parte dos filtros anti-spam do Kerio Connect, o recurso antifalsificação impede que os remetentes de spam falsifiquem seu endereço de e-mail e finjam que suas mensagens são enviadas por você. Um exemplo típico em um ambiente Kerio (se esse recurso não estiver ativado) é que os usuários podem enviar mensagens como outros usuários, mesmo sem delegação, ao usar clientes de email que podem modificar o campo Endereço de, como o Microsoft Outlook.
Esse recurso implementa o Sender Identify, com o qual os usuários devem se autenticar para poder enviar um email usando qualquer domínio local e os usuários só podem enviar um email dos seguintes endereços:
• O endereço de email do usuário.
• O endereço de email dos grupos dos quais eles são membros.
• Os aliases para seus endereços de email.
• Os aliases para pastas públicas que eles podem acessar.
• O endereço de email dos usuários que concederam a eles uma delegação.
Se o email não atender às condições acima, o Kerio Connect o bloqueará como uma mensagem falsificada. É importante observar que esse recurso impedirá apenas que seu domínio seja falsificado. O Kerio Connect possui outros meios de detectar se um email de entrada vem de um remetente falsificado.
O Anti-Spoofing pode ser ativado nas seguintes configurações:
Em Segurança > Política do Remetente:
Ou em Domínio > Segurança:
Criptografia de dados
Esse recurso está disponível apenas para usuários que executam o Kerio Connect v9.2.7 e superior no Linux.
• A criptografia de dados não é suportada em discos externos ou removíveis ou armazenamento de dados com vários volumes.
• O processo inicial de criptografia e descriptografia leva um tempo considerável para ser concluído com base no tamanho dos dados do email.
IMPORTANTE
É recomendável não interromper o processo, pois isso resultará em um armazenamento de email corrompido. A entrega de email também não está disponível durante esse período.
Habilitando a criptografia
Você pode configurar o Kerio Connect para criptografar configurações do usuário, logs, configurações do sistema e mensagens salvas no disco.
IMPORTANTE
A criptografia está vinculada a um dispositivo de armazenamento específico; portanto, se você planeja alterar o hardware, primeiro desabilite a criptografia. Além disso, a criptografia resulta na utilização de mais recursos para que o desempenho seja afetado.
1. Na interface de administração do Kerio Connect, vá para Configuração > Opções avançadas > Diretório de lojas.
2. Vá para a seção Criptografia de dados.
3. Digite a Senha e digite novamente para confirmar a mesma.
IMPORTANTE
Depois que a criptografia estiver ativada, a senha não poderá ser alterada. Lembre-se desta senha, pois seria necessário descriptografar dados.
4. Clique em Criptografar e confirme a ação.
NOTA
Durante a inicialização da criptografia, o serviço Kerio Connect é reiniciado.
Desabilitando a criptografia
Para descriptografar dados e desativar a criptografia:
1. Na interface de administração do Kerio Connect, vá para Configuração > Opções avançadas > Diretório de lojas.
2. Vá para a seção Criptografia de dados.
3. Clique em Desativar.
4. Digite a senha definida durante a criptografia e confirme a ação.
Solução de problemas
Para qualquer problema relacionado à criptografia, é recomendável habilitar a Criptografia de Dados nos debug log:
Criptografando a comunicação do usuário
Se você selecionar a opção Requer conexão criptografada, os clientes se conectam a qualquer serviço por meio de uma conexão criptografada (a comunicação não pode ser tocada).
NOTA
Muitos servidores SMTP (Simple Mail Transfer Protocol) não suportam SMTPS (Simple Mail Transfer Protocol Secure) e STARTTLS. O servidor SMTP requer autenticação segura do usuário para fornecer segurança avançada.