De meeste bedrijven zijn inmiddels voorzien van anti-virus software en ook anti-spam programma's worden steeds vaker gebruikt. Toch worden er nog altijd bij het implementeren van e-mail beleid een aantal zaken vergeten of fouten gemaakt.

Sommige van deze zaken hebben invloed op de beveiliging terwijl andere weer operationeel van aard zijn, aan het eind is het vaak de systeembeheerder of security professional die ervoor kan zorgen dat deze zaken worden opgelost. Het Internet Storm Center stelde de volgende e-mail policy tips samen:

1. Gebruik weggooi-adressen voor webregistraties en andere zaken. Bijvoorbeeld als je je eigen domeinnaam hebt, kun je een catch-all forward maken voor e-mail voor alleen dat domein waar je gaat registreren, bijvoorbeeld amazon@jouwdomeinnaam.com als je bij Amazon wat gaat doen.

2. Gebruik een eenvoudig filter voor je inbox. Als de verstuurder niet al bekend is in je adresboek of andere lijsten, plaats de e-mail dan automatisch in de nieuwe-contacten map. Dit zorgt ervoor dat je inbox schoon blijft van spam, zonder dat je je zorgen hoeft te maken over hoe de spam eruit ziet. Een korte blik in de nieuwe-contacten map laat snel nieuwe contacten en spam zien.

3. Gebruik een variatie voor het filteren van de bedrijfsmail.
a. Accepteer geen e-mail van onbekende adressen. Dit zorgt ervoor dat de server een bounce genereert, en als de server een spammer is, zal de spam verdwijnen.
b. Afhankelijk van de organisatie, kun je geen e-mail van onbekende adressen accepteren of beperken wat een onbekend adres kan doen (1 bericht per minuut bijvoorbeeld).

4. Filter zoveel als mogelijk gebaseerd op "protocol", in plaats van op content. Spammers passen steeds hun berichten aan.

5. Moedig het gebruik van TLS en DKIM aan. Spammers gebruiken vaak zombienetwerken, die geen TLS of andere encryptie/signing methodes gebruiken.

6. Gebruik geen HTML e-mail, lees berichten in platte tekst. Dit voorkomt phishing en exploits die lekken in HTML renderers gebruiken. Ook voorkomt het dat spammers hits krijgen op embedded advertenties.

7. Filter de abuse boxen niet op spam en virussen. Zorg er in dit geval voor dat het personeel goed getraind en security bewust is.

8. Maak geen gebruik van auto-respond features. Het automatisch reageren op e-mails om mensen te vertellen dat hun e-mail een virus bevat of dat het spam is wordt niet echt gewaardeerd.

9. Verstuur geen "failure to deliver messages". Dit is voor twee redenen verkeerd. Op deze manier kan een aanvaller geldige e-mailadressen achterhalen. De andere reden is dat mensen wiens e-mailadres gespooft is, met allerlei loze meldingen worden lastiggevallen.

10. Leer het lezen van SMTP headers. Eis dat gebruikers die een klacht hebben de SMTP headers meesturen. Alleen zo kun je zien waar de e-mail werkelijk vandaan komt.

11. Stel geen afwezigheidsbericht in dat reageert op mailinglijsten.

12. Stel geen mailinglijsten in zonder te bepalen wie er naar toe mag sturen.

13. Verberg de e-mailadressen van leden van een mailinglijst. Verkeerd ingestelde mailinglijsten kunnen alle leden weergeven.

14. Maak gebruik van het BCC veld. Erg handig voor het versturen van een bericht naar meerdere mensen.