Para ser honesto, esta pregunta generalmente es un duplicado de preguntas como esto y responda de manera general mirando esta etiqueta de endurecimiento .
Solo para agregar a los grandes puntos hechos por DKNUCKLES.
Con respecto a IDS / IPS, personalmente no usaría HIPS / HIDS en un servidor de correo electrónico. Los servidores de correo electrónico generalmente trabajan bastante duro (debido a los sistemas de audio y video, filtrado de contenido y otros controles de los correos electrónicos que entran y salen de una organización) y tener servidores de correo electrónico administrados, HIPS / HIDS no sería para mí.
Yo usaría NIDS (probablemente Snort, no estoy familiarizado con Suricata) y lo tengo configurado como una verdadera solución de monitoreo de seguridad de red, por lo que tengo visibilidad de lo que está pasando en la red.
Además, no solo me endurecería el servidor de correo electrónico según las mejores prácticas en los enlaces anteriores, sino que también lo segregaría en una DMZ con restricciones de salida (es decir, las conexiones a Internet y de vuelta internamente para que solo pueda hablar a los dispositivos específicos que necesita (esto es generalmente siguiendo los principios de defensa en profundidad y seguridad en capas) Algunos documentos de la Sala de Lectura de SAN en él: 1 , 2 , 3 . No desea que el servidor de correo electrónico se utilice como punto de pivote para atacar elementos más valiosos de su infraestructura, por lo que su capacidad para hacer cosas necesita ser restringida ed.
Desde una perspectiva de protocolo para descargar correos electrónicos al cliente, asegúrese de que IMAP sobre SSL se use en lugar de POP , que es un protocolo de texto simple.
Asegúrese de que su administrador de acceso acceda al servidor de correo electrónico (para fines de administración) de manera segura y controlada.
En una nota posiblemente no relacionada, configurar su servidor de correo para que siempre realice ciertas acciones (como cifrar o bloquear) cuando vea que un correo electrónico va a un determinado destinatario o desde una determinada persona interna o se basa en cierto contenido puede evitar fugas de datos involuntarias y otros problemas de seguridad.