Keinoja välttää sähköpostin ohivuoto D-Fence palveluita käytettäessä

Tapaus 1: Käytettävissä on vain yksi sähköpostipalvelin, sama kaikille sähköpostiasiakkaille

Varmista että asiakasdomaini ei löydy mx listalta.

dig asiakasdomain.fi mx
asiakasdomain.fi. 3600 IN MX 0   *.d-fence.fi.
asiakasdomain.fi. 3600 IN MX 0   *.d-fence.fi.
asiakasdomain.fi. 3600 IN MX 10 *.d-fence.fi.
aisakasdomain.fi. 3600 IN MX 100 palvelin.omaisp.fi.

Vaikka palvelin.omaisp.fi on suurimmalla eli alhaisimmalla (”secondary”) mx prioriteetilla roskapostin lähettäjät käyttävät sitä sähköpostin lähettämiseen asiakasdomainiin. Roskapostittajat eivät kunnioita prioriteetteja vaan kokeilevat mitä tahansa keinoa päästä suodatuksen ohi.

Varmista että mail.asiakasdomain.fi A tietue ei osoita palvelimeen.

Roskapostittajat etsivät tunnettuja nimiä sähköpostipalvelimelle. mail.asiakasdomain.fi on yhtä yleinen kuin www. web sivujen palvelussa ja vaikka kaikki mx:t osoittaisivat d-fence:n palveluun roskapostittajat lähettävät silti mailia suoraan mail.asiakasdomain.fi palvelimelle jos sitä ei ole erikseen estetty. Muita välteltäviä nimiä ovat esim smtp, imap, pop, email, pop3, imap4 ja post.(eli mikä tahansa termi joka voidaan liittää sähköpostiin).

Onkin parempi että esim laatikko.omaisp.fi tms tyyppinen nimi joka ei ole suoraan yhdistettävissä sähköpostiin on käytössä asiakkaiden sähköpostinvälityksessä mail.asiakasdomain.fi sijasta.

Tapaus 2: kaksi sähköpostipalvelinta

Helpoin turvallinen configuraatio tässä tilanteessa on että palvelimille laitetaan kaksi eri roolia.

laatikko.omaisp.fi piilotetaan internetistä päin, tänne ei päästetä postia suoraan internetistä. Vain imap, submission(autentikoitu mailinlähetys asiakkaille) ja muut tarvittavat portit kuten https webmailille avataan internetistä. D-Fencelle sallitaan erikseen palomuurissa smtp lähetysmahdollisuus suoraan laatikko.omaisp.fi palvelimelle. Muualta internetistä lähettäminen estetään.

tuulikaappi.omaisp.fi on erillinen postipalvelin joka vastaanottaa internetistä sähköpostia asiakkaille ja välittää asiakasdomainien postit laatikko.imaisp.fi palvelimelle. Erityisen tärkeää on että tuulikaappi ei suostu välittämään postia d-fence:n asiakkaille mutta suostuu välittämään jos asiakas ei ole ostanut suodatuspalvelua.

Tapaus 3: kaksi rinnakkaista postipalvelinta

Kolmas vaihtoehto on järjestää erillinen palvelin yhteisille asiakkaille. Tällöin kaikki sähköpostinvälitys erililliselle palvelimelle sallitaan vain D-Fencen palvelusta. Tämä on sikäli kevyt ratkaisu että mitään muutoksia entiseen sähköpostijärjestelmään ei tarvitse tehdä, lisätään vain erillinen palvelin jolle postin välittäminen on estetty ulkopuolisilta tahoilta.