Grundlæggende sikkerhedsindstillinger
Før vi ser på de avancerede sikkerhedsforanstaltninger, skal vi sørge for, at de grundlæggende indstillinger er korrekte. Dette omfatter begrænsning af adgangen til Postfix-serveren. I filen /etc/postfix/main.cf skal du tilføje eller justere følgende linjer:
inet_interfaces = kun loopback mynetworks = 127.0.0.0/8 [::1]/128
Disse indstillinger begrænser adgangen til den lokale host og forhindrer, at serveren bliver misbrugt som et åbent relæ. Et åbent relæ kan bruges af spammere til at sende uønskede e-mails, hvilket kan skade din servers omdømme alvorligt. Det er derfor vigtigt at udføre denne grundlæggende beskyttelse.
Aktivér TLS-kryptering
Brugen af TLS (Transport Layer Security) er afgørende for at sikre fortroligheden af e-mail-kommunikation. Tilføj følgende linjer til main.cf-fil:
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_security_level = may smtp_tls_security_level = may
Disse indstillinger aktiverer TLS for indgående og udgående forbindelser. Sørg for, at du bruger gyldige SSL-certifikater, helst fra en betroet certificeringsmyndighed (CA). En korrekt implementeret TLS beskytter dine e-mails mod aflytning og manipulation under overførslen. Yderligere oplysninger om TLS-konfiguration kan findes i den officielle [Postfix-dokumentation] (https://www.postfix.org/TLS_README.html).
Opsæt SASL-godkendelse
SASL (Simple Authentication and Security Layer) giver et ekstra lag af sikkerhed. Tilføj disse linjer til main.cf tilføjet:
smtpd_sasl_type = dovecot smtpd_sasl_path = privat/auth smtpd_sasl_auth_enable = ja smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname
Denne konfiguration forudsætter, at du bruger Dovecot som SASL-udbyder. Juster indstillingerne i overensstemmelse hermed, hvis du bruger en anden udbyder. SASL-godkendelse forhindrer uautoriserede brugere i at sende e-mails via din server, hvilket øger sikkerheden betydeligt.
Beskyttelse mod denial-of-service-angreb
For at beskytte din server mod overbelastning kan du indstille forbindelsesgrænser. Tilføj disse linjer til main.cf tilføjet:
smtpd_client_connection_rate_limit = 50 smtpd_client_message_rate_limit = 100 ambolt_rate_time_unit = 60s
Disse indstillinger begrænser antallet af forbindelser og beskeder, som en klient kan sende pr. minut. Ved at begrænse dette kan du forhindre, at din server bliver overbelastet af masseanmodninger eller spammails. Dette er et vigtigt skridt for at sikre, at din mailserver er tilgængelig.
Implementer HELO/EHLO-restriktioner
Mange spamafsendere bruger ugyldige eller forfalskede HELO/EHLO-værtsnavne. Du kan blokere sådanne forbindelser med følgende indstillinger:
smtpd_helo_required = ja smtpd_helo_restrictions = ja permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
Disse regler kræver et gyldigt HELO/EHLO-værtsnavn og afviser forbindelser med ugyldige eller ufuldstændigt kvalificerede domænenavne. Det gør det sværere for spammere at sende falske e-mails, da de skal angive korrekte HELO/EHLO-oplysninger.
Indfør restriktioner for sendere
For at forhindre misbrug af din server kan du indstille begrænsninger for afsendere:
smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining
Disse regler afviser e-mails fra ufuldstændigt kvalificerede afsenderadresser eller ukendte afsenderdomæner. Det reducerer sandsynligheden for, at din server bliver brugt til spam eller phishing, og forbedrer samtidig den generelle kvalitet af de modtagne e-mails.
Konfigurer modtagerbegrænsninger
I lighed med afsenderbegrænsningerne kan du også definere regler for modtagere:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient, reject_unknown_recipient_domain
Disse indstillinger forhindrer din server i at blive misbrugt som relæ for uautoriserede destinationer og afviser e-mails til ugyldige modtageradresser. Det øger sikkerheden på din server yderligere og sikrer samtidig e-mailkommunikationens integritet.
Implementer greylisting
Greylisting er en effektiv metode til at reducere spam. Installer først pakken Postgrey:
sudo apt install postgrey
Tilføj derefter følgende linje til main.cf tilføjet:
smtpd_recipient_restrictions = ... (eksisterende indstillinger) check_policy_service unix:private/postgrey
Denne konfiguration videresender først indgående e-mails til Postgrey-tjenesten, som genererer midlertidige afvisninger for ukendte afsendere. E-mailservere, der sender legitime e-mails, forsøger at levere igen efter en forsinkelse, hvilket effektivt eliminerer spamafsendere, der ofte kun forsøger at sende én gang.
Aktivér SPF-kontrol
Sender Policy Framework (SPF) hjælper med at forhindre spoofing af e-mails. Installer først den nødvendige pakke:
sudo apt install postfix-policyd-spf-python
Tilføj derefter disse linjer til main.cf tilføjet:
policyd-spf_time_limit = 3600s smtpd_modtager_begrænsninger = ... (eksisterende indstillinger) check_policy_service unix:private/policyd-spf
Denne konfiguration aktiverer SPF-kontrollen for indgående e-mails. SPF kontrollerer, om e-mailen er sendt fra en autoriseret server for det angivne domæne, hvilket hjælper med at forhindre spoofing og øge troværdigheden af din e-mailkommunikation.
Implementer DKIM-signering
DomainKeys Identified Mail (DKIM) tilføjer en digital signatur til udgående e-mails. Installer først OpenDKIM:
sudo apt install opendkim opendkim-tools
Konfigurer derefter OpenDKIM, og tilføj disse linjer til main.cf tilføjet:
milter_protokol = 2 milter_default_action = accept smtpd_milters = unix:/var/run/opendkim/opendkim.sock non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
Disse indstillinger aktiverer DKIM-signering for udgående e-mails. DKIM øger sikkerheden ved at sikre, at e-mails ikke er blevet ændret ubemærket, og styrker tilliden til meddelelsernes ægthed.
Opsæt DMARC-retningslinjer
DMARC (Domain-based Message Authentication, Reporting and Conformance) er baseret på SPF og DKIM. Tilføj en DMARC DNS-post til dit domæne, og installer OpenDMARC:
sudo apt install opendmarc
Konfigurer OpenDMARC, og tilføj denne linje til main.cf tilføjet:
smtpd_milters = ... (eksisterende indstillinger), inet:localhost:8893
Denne konfiguration aktiverer DMARC-kontrol for indgående e-mails. DMARC giver domæneejere mulighed for at indstille politikker for, hvordan modtagende servere skal håndtere mislykkede SPF- eller DKIM-kontroller, og giver detaljerede rapporter om e-mail-godkendelse.
Regelmæssige opdateringer og overvågning
Sikkerhed er en løbende proces. Sørg for at opdatere dit Postfix-system regelmæssigt:
sudo apt opdatering sudo apt opgradering
Overvåg også Postfix-logfilerne for mistænkelig aktivitet:
tail -f /var/log/mail.log
Regelmæssige opdateringer lukker kendte sikkerhedshuller og forbedrer stabiliteten på din mailserver. Kontinuerlig overvågning af logfilerne gør det muligt at genkende usædvanlige aktiviteter på et tidligt tidspunkt og reagere hurtigt på dem.
Yderligere sikkerhedsforanstaltninger
Ud over de grundlæggende og avancerede sikkerhedsforanstaltninger er der yderligere skridt, du kan tage for yderligere at øge sikkerheden på din Postfix-server:
Konfiguration af firewall
Sørg for, at din firewall kun har åbnet de nødvendige porte til mailserveren. Det er typisk port 25 (SMTP), port 587 (submission) og port 993 (IMAP via SSL). Brug værktøjer som f.eks. ufw eller iptablesfor at kontrollere adgangen til disse porte og blokere uønskede forbindelser.
Systemer til opdagelse af indtrængen (IDS)
Implementer et indbrudsdetekteringssystem som f.eks. Fail2Bantil at registrere gentagne mislykkede loginforsøg og automatisk blokere IP-adresser, der udviser mistænkelig adfærd. Det reducerer risikoen for brute force-angreb på din mailserver.
Sikkerhedskopiering og gendannelse
Udfør regelmæssige sikkerhedskopier af dine konfigurationsfiler og vigtige data. I tilfælde af en sikkerhedshændelse kan du hurtigt gendanne og minimere serviceafbrydelser. Opbevar sikkerhedskopier på et sikkert sted, og tjek regelmæssigt integriteten af sikkerhedskopidataene.
Bruger- og rettighedsstyring
Administrer brugerkonti omhyggeligt, og tildel kun de nødvendige rettigheder. Brug stærke adgangskoder, og overvej at implementere multifaktorautentificering (MFA) for at sikre adgangen til mailserveren yderligere.
Bedste praksis for vedligeholdelse af Postfix
Løbende vedligeholdelse af din Postfix-server er afgørende for at opretholde sikkerhed og ydeevne. Her er nogle gode råd:
- Tjek jævnligt konfigurationen: Tjek regelmæssigt din
main.cfog andre konfigurationsfiler for at sikre, at alle sikkerhedsforanstaltninger er implementeret korrekt. - Log-analyse: Brug værktøjer til automatisk at analysere dine mail-logfiler for hurtigt at identificere uregelmæssigheder og potentielle sikkerhedshændelser.
- Softwareopdateringer: Opdater ikke kun Postfix, men også alle afhængige komponenter som Dovecot, OpenDKIM og OpenDMARC med jævne mellemrum.
- Overvågning og advarsler: Implementer et overvågningssystem, der giver dig besked om usædvanlige aktiviteter eller fejlmeddelelser.
Undgå almindelige fejl i Postfix-konfigurationen
Når man konfigurerer Postfix for at maksimere sikkerheden, er der nogle almindelige fejl, som man bør undgå:
- Åbent relæ: Sørg for, at din server ikke er konfigureret som et åbent relæ ved at indstille
inet_interfacesogmyndighedsnetværk-indstillinger korrekt. - Ugyldige TLS-certifikater: Brug altid gyldige og opdaterede SSL-certifikater for at kunne bruge TLS-kryptering effektivt.
- Mangler godkendelse: Aktivér SASL-godkendelse for at forhindre misbrug af din server.
- Utilstrækkelige satsgrænser: Indstil passende forbindelsesgrænser for at forhindre denial-of-service-angreb.
- Manglende SPF/DKIM/DMARC: Implementer omfattende e-mail-godkendelsesmetoder for at sikre integriteten og ægtheden af dine e-mails.
Sammenfatning
At konfigurere Postfix til maksimal sikkerhed kræver omhyggelig planlægning og regelmæssig vedligeholdelse. Ved at implementere de foranstaltninger, der er beskrevet i denne artikel, kan du forbedre sikkerheden på din e-mailserver betydeligt. Husk, at sikkerhed er en løbende proces. Hold dig opdateret om nye trusler og bedste praksis for at holde din Postfix-server beskyttet. Udnyt de ressourcer og fællesskaber, der er til rådighed, til at uddanne dig selv og holde dig på forkant med teknologien.
For yderligere oplysninger og detaljerede instruktioner henvises til den officielle [Postfix-dokumentation] (https://www.postfix.org/documentation.html) og andre pålidelige kilder inden for e-mail-sikkerhed.
