Per essere onesti, questa domanda è generalmente un duplicato di domande come questo e in generale riceverai una risposta osservando questo tag hardening .
Solo per aggiungere ai grandi punti fatti da DKNUCKLES.
Per quanto riguarda IDS / IPS, personalmente non utilizzerei HIPS / HIDS su un server di posta elettronica. Generalmente i server di posta elettronica funzionano in modo piuttosto duro (a causa di AV, filtro dei contenuti e altri controlli sulle e-mail che entrano ed escono da un'organizzazione) e avendo server di posta gestiti, HIPS / HIDS non sarebbe adatto a me.
Userò NIDS (molto probabilmente Snort, non ho familiarità con Suricata) e l'ho configurato come una vera soluzione di monitoraggio della sicurezza della rete, così ho la visibilità di ciò che accade nella rete.
Inoltre, non solo il server di posta elettronica si è rafforzato secondo le migliori pratiche nei link sopra, ma ha anche segregato in una DMZ con restrizioni in uscita (cioè connessioni a Internet e back internamente in modo che possa parlare solo a dispositivi specifici di cui ha bisogno (in genere segue i principi di difesa in profondità e sicurezza a più livelli) Alcuni documenti della SAN Reading Room su di esso - 1 , 2 , 3 . Non si desidera utilizzare il server di posta elettronica come punto di pivot per attaccare elementi più preziosi della propria infrastruttura la sua capacità di fare cose deve essere limitata ed.
Dal punto di vista del protocollo per il download delle e-mail sul client, assicurati di utilizzare IMAP su SSL piuttosto che POP , che è un protocollo in chiaro.
Verifica che il tuo sysadmin acceda al server di posta elettronica (a fini di amministrazione) in modo sicuro e controllato.
Su una nota probabilmente non correlata, configurare il tuo server di posta per eseguire sempre determinate azioni (come la crittografia o il blocco) quando vedi che la posta elettronica viene indirizzata a un determinato destinatario o da una determinata persona interna o in base a determinati contenuti può salvare perdite di dati indesiderate e altri problemi di sicurezza.