postfix

Postfixi konfiguratsioon maksimaalse turvalisuse tagamiseks: Põhjalik juhend

Põhilised turvasätted

Enne kui vaatame edasijõudnud turvameetmeid, peaksime veenduma, et põhiseaded on õiged. See hõlmab juurdepääsu piiramist Postfixi serverile. Failis /etc/postfix/main.cf peaksite lisama või kohandama järgmisi ridu:

inet_interfaces = loopback-only
mynetworks = 127.0.0.0/8 [::1]/128

Need seaded piiravad juurdepääsu kohalikule hostile ja takistavad serveri väärkasutamist avatud releena. Avatud releed võivad rämpsposti saatjad kasutada soovimatute e-kirjade saatmiseks, mis võib teie serveri mainet tõsiselt kahjustada. Seetõttu on väga oluline see põhiline kaitse.

TLS-i krüpteerimise aktiveerimine

TLS-i (Transport Layer Security) kasutamine on oluline, et tagada e-kirjavahetuse konfidentsiaalsus. Lisage järgmised read main.cf-faili:

smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level = may
smtp_tls_security_level = may

Need seaded aktiveerivad TLS-i sissetulevate ja väljaminevate ühenduste jaoks. Veenduge, et kasutate kehtivaid SSL-sertifikaate, ideaalis usaldusväärse sertifitseerimisasutuse (CA) sertifikaate. Õigesti rakendatud TLS kaitseb teie e-kirju edastamise ajal pealtkuulamise ja manipuleerimise eest. Lisateavet TLS-i seadistamise kohta leiate ametlikust [Postfixi dokumentatsioonist](https://www.postfix.org/TLS_README.html).

SASL-autentimise seadistamine

SASL (Simple Authentication and Security Layer) pakub täiendavat turvakihti. Lisage need read faili main.cf lisatud:

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

See konfiguratsioon eeldab, et kasutate SASLi pakkujana Dovecot'i. Kui kasutate teistsugust teenusepakkujat, kohandage seaded vastavalt. SASL-autentimine takistab volitamata kasutajatel e-kirjade saatmist teie serveri kaudu, mis suurendab oluliselt turvalisust.

Kaitse teenusetõrjerünnakute vastu

Selleks, et kaitsta oma serverit ülekoormuse eest, saate seada ühenduspiirangud. Lisage need read faili main.cf lisatud:

smtpd_client_connection_rate_limit = 50
smtpd_client_message_rate_limit = 100
anvil_rate_time_unit = 60s

Need seaded piiravad ühenduste ja sõnumite arvu, mida klient saab minutis saata. Selle piiramisega saate vältida serveri ülekoormamist massiliste päringute või rämpspostiga. See on oluline samm, et tagada teie meiliserveri kättesaadavus.

HELO/EHLO piirangute rakendamine

Paljud rämpsposti saatjad kasutavad vigaseid või võltsitud HELO/EHLO hostinimesid. Selliseid ühendusi saate blokeerida järgmiste seadistustega:

smtpd_helo_required = yes
smtpd_helo_restrictions =
 permit_mynetworks,
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname

Need reeglid nõuavad kehtivat HELO/EHLO hostinime ja lükkavad tagasi ühendused, mille domeeninimed on kehtetud või puudulikult kvalifitseeritud. See muudab võltsitud e-kirjade saatmise rämpsposti saatjate jaoks keerulisemaks, kuna nad peavad esitama korrektset HELO/EHLO teavet.

Kehtestada saatja piirangud

Teie serveri väärkasutamise vältimiseks saate määrata saatjatele piiranguid:

smtpd_sender_restrictions =
 permit_mynetworks,
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining

Need reeglid lükkavad tagasi e-kirjad, mis pärinevad mittetäielikult kvalifitseeritud saatja aadressidelt või tundmatute saatjate domeenidest. See vähendab tõenäosust, et teie serverit kasutatakse rämpsposti või andmepüügi eesmärgil, ning parandab samal ajal saadud e-kirjade üldist kvaliteeti.

Vastuvõtja piirangute konfigureerimine

Sarnaselt saatja piirangutega saate määrata reeglid ka vastuvõtjatele:

smtpd_recipient_restrictions =
 permit_mynetworks,
 reject_unauth_destination,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain

Need seaded takistavad teie serveri väärkasutamist volitamata sihtkohtade releena ja lükkavad tagasi e-kirjad ebakorrektsetele vastuvõtja aadressidele. See suurendab veelgi teie serveri turvalisust ja tagab samal ajal e-kirjavahetuse terviklikkuse.

Rakendada halli nimekirja

Greylisting on tõhus meetod rämpsposti vähendamiseks. Installige kõigepealt Postgrey pakett:

sudo apt install postgrey

Seejärel lisage järgmine rida main.cf lisatud:

smtpd_recipient_restrictions =
 ... (olemasolevad seaded)
 check_policy_service unix:private/postgrey

See konfiguratsioon edastab sissetulevad e-kirjad kõigepealt Postgrey teenusele, mis genereerib tundmatute saatjate puhul ajutisi tagasilükkamisi. E-posti serverid, mis saadavad seaduslikke kirju, proovivad pärast viivitust uuesti nende edastamist, kõrvaldades tõhusalt rämpsposti saatjad, kes sageli üritavad saata ainult üks kord.

Aktiveeri SPF kontroll

Sender Policy Framework (SPF) aitab vältida e-posti võltsimist. Installige kõigepealt vajalik pakett:

sudo apt install postfix-policyd-spf-python

Seejärel lisage need read main.cf lisatud:

policyd-spf_time_limit = 3600s
smtpd_recipient_restrictions =
 ... (olemasolevad seaded)
 check_policy_service unix:private/policyd-spf

See seadistus aktiveerib SPF-kontrolli sissetulevate e-kirjade puhul. SPF kontrollib, kas e-kiri on saadetud määratud domeeni volitatud serverist, mis aitab vältida võltsimist ja suurendada teie e-kirjade usaldusväärsust.

DKIM allkirjastamise rakendamine

DomainKeys Identified Mail (DKIM) lisab väljaminevatele e-kirjadele digitaalallkirja. Installige kõigepealt OpenDKIM:

sudo apt install opendkim opendkim-tools

Seejärel konfigureerige OpenDKIM ja lisage need read faili main.cf lisatud:

milter_protocol = 2
milter_default_action = accept
smtpd_milters = unix:/var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock

Need seaded aktiveerivad DKIM allkirjastamise väljaminevate e-kirjade jaoks. DKIM suurendab turvalisust, tagades, et e-kirju ei ole märkamatult muudetud, ja tugevdab usaldust sõnumite autentsuse vastu.

Seadistage DMARC suunised

Domeenipõhine sõnumite autentimine, aruandlus ja vastavus (DMARC) põhineb SPF-il ja DKIM-il. Lisage oma domeenile DMARC DNS-kanne ja installige OpenDMARC:

sudo apt install opendmarc

Konfigureerige OpenDMARC ja lisage see rida aadressile main.cf lisatud:

smtpd_milters = ... (olemasolevad seaded), inet:localhost:8893

See konfiguratsioon võimaldab DMARC-kontrolli sissetulevate e-kirjade puhul. DMARC võimaldab domeeniomanikel määrata poliitikaid, kuidas vastuvõtvad serverid peaksid käitlema ebaõnnestunud SPF- või DKIM-kontrolle, ning annab üksikasjalikke aruandeid e-kirjade autentimise kohta.

Regulaarne ajakohastamine ja järelevalve

Turvalisus on pidev protsess. Veenduge, et uuendate oma Postfixi süsteemi regulaarselt:

sudo apt update
sudo apt upgrade

Jälgige ka Postfixi logisid kahtlase tegevuse suhtes:

tail -f /var/log/mail.log

Regulaarsed uuendused sulgevad teadaolevad turvaaugud ja parandavad teie meiliserveri stabiilsust. Logide pidev jälgimine võimaldab teil varakult ära tunda ebatavalisi tegevusi ja neile kiiresti reageerida.

Täiendavad ohutusmeetmed

Lisaks põhilistele ja täiustatud turvameetmetele on olemas täiendavad sammud, mida saate astuda Postfixi serveri turvalisuse edasiseks suurendamiseks:

Tulemüüri konfiguratsioon

Veenduge, et teie tulemüür on avanud ainult postiserverile vajalikud pordid. Tavaliselt on need port 25 (SMTP), port 587 (esitamine) ja port 993 (IMAP SSL-i kaudu). Kasutage selliseid vahendeid nagu ufw või iptableskontrollida juurdepääsu nendele sadamatele ja blokeerida soovimatuid ühendusi.

Rünnetuvastussüsteemid (IDS)

Rakendada sissetungi tuvastamise süsteemi, näiteks Fail2Bantuvastada korduvaid ebaõnnestunud sisselogimiskatseid ja blokeerida automaatselt IP-aadressid, mis näitavad kahtlast käitumist. See vähendab teie meiliserverile suunatud brute force'i rünnakute ohtu.

Varukoopiad ja taastamine

Tehke regulaarselt varukoopiaid oma konfiguratsioonifailidest ja olulistest andmetest. Turvaintsidentide korral saate taastada kiiresti ja vähendada teenuse katkestusi. Hoidke varukoopiaid turvalises kohas ja kontrollige regulaarselt varundatud andmete terviklikkust.

Kasutajate ja õiguste haldamine

Haldage kasutajakontosid hoolikalt ja andke ainult vajalikud õigused. Kasutage tugevaid paroole ja kaaluge mitmefaktorilise autentimise (MFA) rakendamist, et tagada veelgi turvalisem juurdepääs meiliserverile.

Postfixi hoolduse parimad tavad

Postfixi serveri pidev hooldus on turvalisuse ja jõudluse säilitamiseks kriitilise tähtsusega. Siin on mõned parimad tavad:

Kontrollige regulaarselt konfiguratsiooni: Kontrollige regulaarselt oma main.cf ja muud konfiguratsioonifailid, et tagada kõigi turvameetmete korrektne rakendamine.

Logi analüüs: Kasutage vahendeid oma postilogide automaatseks analüüsimiseks, et kiiresti tuvastada anomaaliaid ja võimalikke turvaintsidente.

Tarkvara uuendused: Uuendage regulaarselt mitte ainult Postfixi, vaid ka kõiki sellest sõltuvaid komponente, nagu Dovecot, OpenDKIM ja OpenDMARC.

Järelevalve ja hoiatused: Rakendage järelevalvesüsteem, mis teavitab teid ebatavalisest tegevusest või veateadetest.

Vältida tavalisi vigu Postfixi konfiguratsioonis

Postfixi seadistamisel turvalisuse maksimeerimiseks on levinud vigu, mida tuleks vältida:

Avatud relee: Veenduge, et teie server ei ole konfigureeritud avatud releena, seades selleks seadme inet_liidesed ja mynetworks-seaded õigesti.

Vigased TLS-sertifikaadid: Kasutage alati kehtivaid ja ajakohaseid SSL-sertifikaate, et kasutada TLS-krüpteerimist tõhusalt.

Puuduv autentimine: Aktiveerige SASL-autentimine, et vältida serveri väärkasutust.

Ebapiisavad määrapiirangud: Seadistage asjakohased ühenduspiirangud, et vältida teenusetõkestusrünnakuid.

Puuduv SPF/DKIM/DMARC: Rakendage põhjalikke e-posti autentimismeetodeid, et tagada e-kirjade terviklikkus ja autentsus.

Kokkuvõte

Postfixi seadistamine maksimaalse turvalisuse tagamiseks nõuab hoolikat planeerimist ja regulaarset hooldust. Selles artiklis kirjeldatud meetmete rakendamisega saate oma e-posti serveri turvalisust märkimisväärselt parandada. Pidage meeles, et turvalisus on pidev protsess. Olge kursis uute ohtude ja parimate tavadega, et hoida oma Postfixi server kaitstud. Kasutage ära olemasolevaid ressursse ja kogukondi, et end harida ja jääda tehnoloogia tipptasemel.

Lisateavet ja üksikasjalikke juhiseid leiate ametlikust [Postfixi dokumentatsioonist](https://www.postfix.org/documentation.html) ja teistest usaldusväärsetest allikatest e-posti turvalisuse valdkonnas.

Praegused artiklid

Kaasaegne andmekeskus koos kiirete serveritega SQL-andmebaaside optimeerimiseks

Plesk veebiserver

SQL andmebaasi optimeerimine - kõik, mida pead teadma

Optimeerige oma SQL-andmebaasi maksimaalse jõudluse saavutamiseks. Avastage parimad näpunäited ja vahendid andmebaasi jõudluse parandamiseks.

24. aprill 2025 Kommentaare pole

Fotorealistlik kujutis loomingulisest 404 lehe kujundusest kaasaegsel monitoril

Administratsioon

Kohandatud 404 lehekülg - kõik, mida pead sellest teadma

Kõik, mis puudutab kohandatud 404-lehte: Kasutaja juhendamine, SEO, parimad tavad ja rakendamine teie veebisaidi suurema edu saavutamiseks.

23. aprill 2025 Kommentaare pole

Kirjutuslaud koos arvuti ja lepingudokumentidega kontoris, ilma tekstita

cms

Veebimajutuse tühistamine - mida peaksite enne otsustamist teadma

Kõik, mida pead teadma veebimajutuse tühistamise kohta: Kõik, mida te teate: tähtajad, andmete varundamine, domeeni säilitamine ja teenusepakkuja vahetamine.