۵.۴ ملاحظات امنیتی لازم برای پیاده سازی یک خدمت رایانامه عمومی (با کاربران بالا)

• مشکلات مربوط به brutreforce نام کاربری و کلمه عبور که با استفاده  از  captchaو... می‌توان از آن جلوگیری کرد.
  • برای این منظور سعی شده است تا جای ممکن از انتخاب کلمات عبور ضعیف جلوگیری گردد. علاوه بر این بستن سرویس برای مهاجمان نیز با استفاده از failTOBAN استفاده شده است. در صورتی که کاربری تعداد زیادی تلاش ناموفق عبور داشته باشد، سرویس دهی برای IP او غیر فعال می گردد.

• نگهداری الگوهای حمله و به روز رسانی انها به صورت دوره و چک کردن ترافیک کاربران برای یافتن الگوهای حمله یک روش برای یافتن حمله کننده است. برای این منظور ابزار های مختلف از قبلی idp و WAF استفاده می گردد. همچنین سعی شده با چک دوره ای چک لیست های امنیتی و به روز رسانی سرویس ها، مشکلات امنیتی مربوط به انها را رفع نمود.
  • با استفاده از رویکرد چک دوره ای و تست های نفوذ و بررسی کد ها سعی شده است تهدیدات امنیتی مربوط به سرویس ها کنترل شود.

• مشکلات مربوط به حملات در سطح شبکه و سیستم عامل که باید با امن سازی سرویس‌های شبکه‌ای و استفاده از WAF و IDS آنها را برطرف کرد (Apache mod_security و snort).
  • مشکلات مربوط به حملات در سطح نرم افزار و سرویس‌های اختصاصی که با تست نفوذ دوره‌ای و امن سازی نرم افزار باید آنها را به حداقل ممکن رساند.

• جلوگیری از شنود ترافیک های مبادله شده با استفاده از ssl/tls و رمزنگاری داده‌های مبادله شده
• جلوگیری از دریافت و ارسال هرزنامه با استفاده از  چهار سرویس spamassassin، cbpolicyd، amavis و clamav
• تشخیص SPF Spoofing با توسعه در amavis
• بلاک کردن دوره ای IP های مخرب به صورت اتومات بر اساس رول های نوشته شده در amavis
• به کار گیری Splunk و Apache mod_security به منظور بلاک کردن IP های مخرب
• پیاده سازی سرویس Cas برای احراز هویت کاربران در سرویس های یکپارچه شده مانند ایمیل، درایو و...