5 ajustes para proteger el servidor de correo MDaemon

Hace unos cuantos años atrás  nuestros negocios no estaban bajo ataque permanente. En 1998, la  ‘estrategia’ de seguridad cibernética de una pequeña empresa era una copia de «Dr. Solomon»  y tener la contraseña en un sitio seguro, por ejemplo un Post-it en el cajón del escritorio. Pero hoy la realidad ha cambiado sustancialmente.

Los piratas informáticos están trabajando incansablemente para encontrar nuevas técnicas que hagan más difícil la vida de los dueños de negocios, y  el uso de correos electrónicos de phishing con facturas falsas es una constante.

Estos correos electrónicos, cargados con malware , están diseñados para engañar haciendo que abra un documento de Office como cualquier otro,  pero en su lugar, infectan su ordenador que hará una variedad de cosas encantadoras, que van desde pellizcar sus credenciales y registrar sus pulsaciones de teclas hasta encriptar sus archivos y retenerlos.

¿Cómo puede ayudar MDaemon?

Como usuario de MDaemon, estás en un buen lugar y estás protegido. Ya estás bien equipado con un gran arsenal de herramientas de seguridad. Sin embargo, es un juego del gato y el ratón que se mueve a un ritmo aterrador, por lo que es importante no volverse complaciente.

Más allá de eso, he enumerado algunos ajustes específicos a la configuración y otras sugerencias que debe tener en cuenta para asegurarse de que está haciendo todo lo posible para hacer frente a esta amenaza particularmente desagradable.

1) Compruebe con más frecuencia las actualizaciones de antivirus

Asegúrese de que tanto Configuración -> Programación de eventos -> Antivirus -> Programación y seguridad -> ClamAV Plugin estén configurados para realizar actualizaciones de definiciones de antivirus muy regulares (recomendaríamos cada hora).

Esto ayuda a garantizar que las últimas definiciones de virus de Cyren y Clamav Antivirus (los motores antivirus que usa MDaemon) estén siempre disponibles cuando se analiza el correo electrónico.

Nota: Dada la frecuencia de las actualizaciones que siguen a esta modificación, puede elegir habilitar Seguridad -> Antivirus -> Destinatarios -> ‘Enviar solo notificación de actualización de antivirus si falla’ para reducir la cantidad de correos electrónicos de actualización de definiciones de antivirus que recibe.

2) Reportar cualquier cosa que se deslice por la red.

Si se encuentra un virus, puede cargar el archivo adjunto a https://www.virustotal.com/para ver si Cyren y Clam Antivirus aún tienen definiciones para él.

Si no lo hacen, puede devolverlos a estos motores como falsos negativos a través de https://kb.cyren.com/av-support/?/Tickets/Submit/RenderForm/7 y https: //www.clamav .net / reports / fp según corresponda.

3) Comience a revisar los mensajes antiguos

Si una definición de virus que detectaría estos correos electrónicos no está disponible en el momento en que se acepta un correo electrónico, puede posteriormente capturarlos  directamente configurando Escaneo de buzones en Seguridad -> Antivirus …

Puede configurarlo para que se ejecute todas las noches si lo desea y luego actuar sobre el correo electrónico dentro de un período definido para ayudar a limitar cualquier carga potencialmente asociada

La forma en que funciona este proceso es la siguiente …

El escaneo del buzón registra en un archivo \ MDaemon \ Logs \ SPScanCT-YYYYMMDD.log y la detección se ve así (haga clic en las imágenes para expandir)….

Como se muestra arriba, cuando se descubre que un correo electrónico está infectado, lo transfiere a la Cola de cuarentena con un motivo asociado (el encabezado X-MDBadQueue-Reason ), por lo que también recibirá una alerta al respecto basándose en esta opción en Colas -> Correo Colas / DSN …

Los archivos que no pueden analizarse (por ejemplo, archivos protegidos con contraseña) no se ponen en cuarentena y permanecen en el buzón.

4) Bloquear documentos sospechosos de MS Office

También puede configurar Clam Antivirus para bloquear los documentos de Office que contienen macros  (estos documentos de factura falsa parecen estar usándolos si están directamente adjuntos al correo electrónico en lugar de un enlace a ellos).

Para hacer esto, abra \ MDaemon \ SecurityPlus \ ClamAVPlugin \ conf \ clamd.conf en un editor de texto y agregue lo siguiente, luego reinicie MDaemon para recoger el cambio …

#Con esta opción se habilitaron los archivos OLE2 con macros VBA, que no fueron detectados por #signatures se marcarán como «Heuristics.OLE2.ContainsMacros».

OLE2BlockMacros Yes

(Nota: esta entrada no existe de forma predeterminada, por lo que debe agregarla en lugar de editar una entrada existente)

5) Activar ‘Rechazar correo electrónico no compatible con RFC’ (NUEVO)

En muchos de estos casos, el correo electrónico de Factura falsa que llega contiene varias direcciones de correo electrónico en el encabezado DESDE para hacer que el destinatario vea que proviene de un remitente válido con el que puede haber tratado anteriormente.

La última versión de MDaemon (18.5.1)  ha mejorado la Configuración -> Configuración del servidor -> Servidores -> Rechazar mensajes que violan la verificación de los estándares RFC y si esta opción está habilitada (ACTIVADO de manera predeterminada en las nuevas instalaciones) ahora rechazará los correos electrónicos que tener un contenido de encabezado DESDE como este.

Más sugerencias

Contraseñas

Asegúrese de que los usuarios tengan contraseñas de buzón seguras que sean exclusivas de su buzón para ayudar a garantizar que no haya riesgo de falsificación de correos electrónicos.

Un buen sitio web que ayuda a identificar las cuentas para las que quizás desee revisar las contraseñas es https://haveibeenpwned.com/

Bloqueo de territorios hostiles

Use Seguridad -> Configuración de seguridad -> Detección -> Detección de ubicación para bloquear ubicaciones geográficas donde nada genuino se conectaría y enviaría un correo electrónico a través de una sesión autenticada. De esta manera, incluso si se conoce una contraseña de cuenta, la naturaleza de la ubicación geográfica significa que el intento malicioso todavía se rechaza.