8 способов защитить корпоративную почту

Когда мы думаем об онлайн-безопасности в компании, сразу вспоминаем о VPN, брандмауэрах, антивирусах и SSL-сертификатах. Но почтовые серверы тоже нуждаются в защите. В статье дадим 8 рекомендаций для безопасности корпоративной почты.

Корпоративная почта — отличное решение для коммуникации с клиентами. Она помогает укрепить имидж, развивать лояльность пользователей и даже создавать воронки и увеличивать объемы продаж. Однако корпоративная почта нуждается в особой системе защиты на всех уровнях.

С 2016 по 2021 годы злоумышленники совершили 240 атак на корпоративные почтовые ящики и похитили у компаний $ 43 млрд. Компрометация, кража персональных данных, данных о зарплате и криптокошельках — основные виды таких атак. Причем больше всего уязвим малый бизнес — в январе 2023 количество атак на малые и средние компании выросло в 5 раз по сравнению с тем же месяцем в 2022 году.

1. Пропишите PTR-запись для почтовых серверов

Ресурсные записи, или DNS-записи, — записи, с помощью которых в систему DNS можно внести служебную информацию о сервере. У каждой DNS-записи есть конкретное предназначение.
PTR, или Pointer (англ. «указатель»), — ресурсная запись, которая связывает IP-адерс сервера с доменом.

Чтобы защитить пользователей от спама, почтовые службы проверяют, соответствует ли IP-адрес сервера реальному домену компании. Все подозрительные письма отправляются в спам. PTR-запись гарантирует, что ваши письма дойдут до получателя и не будут восприняты как нежелательные.

В REG.RU для всех серверов на виртуальном хостинге записи создаются автоматически. Если у вас облачный или выделенный сервер, то можно добавить PTR-запись вручную.

2. Добавьте SPF-запись для защиты от фишинга

SPF («Sender Policy Framework» с англ. — «структура политики отправителя») — еще одна ресурсная запись, но она находится внутри другой, TXT-записи. Это своеобразный код, список доверенных IP, с которых можно отправлять письма от имени конкретного домена.

SPF — ресурсная запись. Это своеобразный код, список доверенных IP, с которых можно отправлять письма от имени конкретного домена.

SPF-запись поможет защититься от излюбленного приема киберпреступников для кражи личных данных — фишинга. Злоумышленники подделывают адреса и оформление писем под брендовые рассылки и отправляют от имени известных компаний. Ссылки в письме ведут на сайты-подделки или автоматически запускают скачивание вируса — в ту же секунду злоумышленники получают доступ к данным. Прописав SPF-запись, вы снизите вероятность фишинговой рассылки от имени вашей компании.

Половина всех писем, отправленных в прошлом году, оказались спамом и фишинговыми рассылками. А за 3 месяца этого года в России удалили 7 тысяч фишинговых ресурсов.

Возможно, вы тоже получали такие письма — часто они приходят якобы от банка, два года назад самыми популярными были письма с опросами о вакцинации, а в прошлом злоумышленники рассылали «приглашения» посетить военкомат со ссылками на небезопасные сайты.

3. Используйте механизмы шифрования SMTP

SMTP («Simple Mail Transfer Protocol» с англ. — «простой протокол передачи почты») — протокол, отвечающий за отправку писем. С его помощью работают серверы исходящей почты.

Прежде чем отправить письмо, SMTP-сервер проверяет на компьютере отправителя настройки и соединяет с сервером почты получателя. Если в настройках нет ошибки, письмо отправляется, а протокол подтверждает его доставку. В противном случае — выдает уведомление об ошибке. Задачи SMTP:

— убедиться, что настройки отправления верные;

— проверить содержимое письма на спам;

— повысить доставляемость письма за счет фильтров;

— подтвердить доставку или уведомить об ошибке — протокол присылает в ответ команды, из которых можно понять, почему именно письмо не было отправлено.

Подробнее о SMTP и его настройке мы писали в Базе знаний. Также защита на SMTP-уровне входит в «Расширенную защиту от спама» от REG.RU.

4. Используйте механизм email-аутентификации DKIM

DKIM — цифровая подпись для писем. У него две основные задачи — снизить вероятность попадания письма в спам и защититься от фишинга. К письмам, отправленным с DKIM-записью у провайдеров больше доверия, а значит, и шансы попасть в папку «Входящие» выше.

Когда вы отправляете письмо, кажется, оно за секунды долетает до получателя. На самом деле процесс сложнее — письмо проходит длинный путь. Сначала оно отправляется на сервер отправителя, который проверит письмо на спам. Далее электронное сообщение отправляется на сервер получателя, где также проходит проверку. И только потом приходит на конкретный email.

Технология DKIM работает на основе ключей шифрования — публичного, его прописывают в TXT-записи в DNS, и закрытого, известного только серверу отправителя. С помощью закрытого ключа каждое письмо получает зашифрованную надпись с информацией о времени отправки и получателе. Эту информацию с помощью открытого ключа расшифровывает сервер получателя. Если всё правильно — письмо будет доставлено. Если в процессе найдена ошибка в ключе или цифровой подписи, письмо отправится в «Спам».

5. Настройте черные и белые списки адресов

Почти во всех почтовых сервисах можно настроить белые и черные списки отправителей и получателей. Белый список — адреса, которым вы доверяете. Письма от этих отправителей никогда не попадут в спам. Адресам из черного списка, соответственно, вы не доверяете, поэтому они будут автоматически попадать в спам, либо не будут доставлены вовсе.

С почтой на домене от REG.RU вы сможете самостоятельно настроить черные и белые списки за несколько минут.

6. Меняйте пароли в личных кабинетах и в почте раз в полгода

Gif демонстрирует, что пароли должны быть разными для разных аккаунтов

У каждого сотрудника должен быть индивидуальный сложный пароль от почты, который раз в полгода нужно менять. При использовании корпоративной почты важно, чтобы все сотрудники соблюдали это правило — одна брешь может стоить компании миллионы, если через нее злоумышленники получат доступ к данным ваших клиентов или счетам компании.

Хранить пароль удобно с помощью специальных менеджеров, например KeePass. Помните, что надежный пароль содержит не менее 8 символов, среди которых цифры и буквы двух регистров. Не стоит использовать для паролей информацию, которую легко найти: имена детей, дату своего рождения. И, уж конечно, комбинации 123456, 123456789, qwerty123 не подойдут — кстати, именно эти три «пароля» были самыми популярными за прошлый год по данным из анализа утекших учетных записей.

7. Откажитесь от бесплатных сервисов

Бесплатные сервисы просты, но нужно понимать, что в таком случае почта на самом деле вам не принадлежит — она расположена на чужом сервере, и вы ей не управляете. При этом у бесплатных сервисов низкая степень защиты, и никто не застрахован от возможных сбоев. Плюсы собственной корпоративной почты очевидны:

доверие клиентов — собственная почта положительно влияет на лояльность ваших клиентов, повышает доверие и вероятность открытия письма;
бренд лучше запоминается;
снижается вероятность попадания письма в спам;
коммуникация с клиентом проще — можно настроить приветственные рассылки и полезные письма для знакомства с компанией;
создание почтовой среды для сотрудников — удобно, когда сотрудникам не приходится смешивать личную почту с рабочими письмами.

Кроме того, с почтой на домене от REG.RU можно создавать неограниченное количество почтовых ящиков, а для защиты от спама используется облачное решение «Лаборатории Касперского».