postfix

Postfix-konfiguraatio maksimaalista turvallisuutta varten: kattava opas

Turvallisuuden perusasetukset

Ennen kuin tarkastelemme kehittyneitä turvatoimia, meidän on varmistettava, että perusasetukset ovat oikein. Tähän kuuluu Postfix-palvelimen käyttöoikeuksien rajoittaminen. Tiedostossa /etc/postfix/main.cf sinun on lisättävä tai muutettava seuraavia rivejä:

inet_interfaces = loopback-only
mynetworks = 127.0.0.0/8 [::1]/128

Nämä asetukset rajoittavat paikallisen isäntäkoneen käyttöä ja estävät palvelimen väärinkäytön avoimena releenä. Roskapostittajat voivat käyttää avointa välityspalvelinta ei-toivottujen sähköpostien lähettämiseen, mikä voi vahingoittaa palvelimesi mainetta vakavasti. Siksi on erittäin tärkeää toteuttaa tämä perussuojaus.

Aktivoi TLS-salaus

TLS:n (Transport Layer Security) käyttö on välttämätöntä sähköpostiviestinnän luottamuksellisuuden varmistamiseksi. Lisää seuraavat rivit tiedostoon main.cf-tiedosto:

smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level = may
smtp_tls_security_level = may

Nämä asetukset aktivoivat TLS:n saapuville ja lähteville yhteyksille. Varmista, että käytät voimassa olevia SSL-varmenteita, mieluiten luotettavan varmentajan (CA) varmentamia. Oikein toteutettu TLS suojaa sähköpostiviestejäsi sieppaukselta ja manipuloinnilta lähetyksen aikana. Lisätietoja TLS-konfiguraatiosta on virallisessa [Postfix-dokumentaatiossa](https://www.postfix.org/TLS_README.html).

SASL-todennuksen määrittäminen

SASL (Simple Authentication and Security Layer) tarjoaa lisäturvan. Lisää nämä rivit main.cf lisätty:

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

Tässä kokoonpanossa oletetaan, että käytät Dovecotia SASL-palveluntarjoajana. Säädä asetuksia vastaavasti, jos käytät eri palveluntarjoajaa. SASL-todennus estää asiattomia käyttäjiä lähettämästä sähköposteja palvelimesi kautta, mikä lisää turvallisuutta merkittävästi.

Suojaus palvelunestohyökkäyksiä vastaan

Voit suojella palvelinta ylikuormitukselta asettamalla yhteysrajoja. Lisää nämä rivit tiedostoon main.cf lisätty:

smtpd_client_connection_rate_limit = 50
smtpd_client_message_rate_limit = 100
anvil_rate_time_unit = 60s

Nämä asetukset rajoittavat yhteyksien ja viestien määrää, joita asiakas voi lähettää minuutissa. Rajoittamalla tätä voit estää palvelimen ylikuormittumisen massapyynnöistä tai roskapostiviesteistä. Tämä on tärkeä toimenpide sähköpostipalvelimesi käytettävyyden varmistamiseksi.

HELO/EHLO-rajoitusten käyttöönotto

Monet roskapostin lähettäjät käyttävät virheellisiä tai väärennettyjä HELO/EHLO-isäntänimiä. Voit estää tällaiset yhteydet seuraavilla asetuksilla:

smtpd_helo_required = kyllä
smtpd_helo_restrictions =
 permit_mynetworks,
 reject_invalid_helo_hostname,
 reject_non_non_fqdn_helo_hostname

Nämä säännöt edellyttävät kelvollista HELO/EHLO-isäntänimeä ja hylkäävät yhteydet, joissa on virheellisiä tai epätäydellisesti määritettyjä verkkotunnuksia. Näin roskapostittajien on vaikeampi lähettää väärennettyjä sähköposteja, koska heidän on annettava oikeat HELO/EHLO-tiedot.

Otetaan käyttöön lähetinrajoituksia

Voit estää palvelimen väärinkäytön asettamalla lähettäjille rajoituksia:

smtpd_sender_restrictions =
 permit_mynetworks,
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining

Nämä säännöt hylkäävät sähköpostiviestit, joiden lähettäjän osoite on puutteellinen tai lähettäjä on tuntematon. Tämä vähentää todennäköisyyttä, että palvelintasi käytetään roskapostiin tai phishingiin, ja parantaa samalla vastaanotettujen sähköpostien yleistä laatua.

Vastaanottajarajoitusten määrittäminen

Samoin kuin lähettäjärajoitusten kohdalla, voit määritellä sääntöjä myös vastaanottajille:

smtpd_recipient_restrictions =
 permit_mynetworks,
 reject_unauth_destination,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain (reject_unknown_recipient_domain).

Nämä asetukset estävät palvelimesi väärinkäytön luvattomien kohteiden välittäjänä ja hylkäävät sähköpostit virheellisiin vastaanottajaosoitteisiin. Tämä lisää palvelimesi turvallisuutta entisestään ja takaa samalla sähköpostiviestinnän eheyden.

Harmaaluetteloinnin toteuttaminen

Harmaaluettelointi on tehokas menetelmä roskapostin vähentämiseksi. Asenna ensin Postgrey-paketti:

sudo apt install postgrey

Lisää sitten seuraava rivi tiedostoon main.cf lisätty:

smtpd_recipient_restrictions =
 ... (olemassa olevat asetukset)
 check_policy_service unix:private/postgrey

Tämä kokoonpano ohjaa saapuvat sähköpostit ensin Postgrey-palveluun, joka luo väliaikaisia hylkäyksiä tuntemattomille lähettäjille. Laillisia sähköposteja lähettävät sähköpostipalvelimet yrittävät uudelleen toimitusta viiveen jälkeen, jolloin roskapostin lähettäjät, jotka usein yrittävät lähettää vain kerran, jäävät tehokkaasti pois.

Aktivoi SPF-tarkistus

SPF (Sender Policy Framework) auttaa estämään sähköpostiväärennöksiä. Asenna ensin tarvittava paketti:

sudo apt install postfix-policyd-spf-python

Lisää sitten nämä rivit tiedostoon main.cf lisätty:

policyd-spf_time_limit = 3600s
smtpd_recipient_restrictions =
 ... (olemassa olevat asetukset)
 check_policy_service unix:private/policyd-spf

Tämä asetus aktivoi SPF-tarkistuksen saapuville sähköposteille. SPF tarkistaa, onko sähköposti lähetetty määritetyn verkkotunnuksen valtuutetulta palvelimelta, mikä auttaa estämään väärennöksiä ja lisäämään sähköpostiviestinnän uskottavuutta.

DKIM-signoinnin käyttöönotto

DomainKeys Identified Mail (DKIM) lisää lähteviin sähköposteihin digitaalisen allekirjoituksen. Asenna ensin OpenDKIM:

sudo apt install opendkim opendkim-tools

Määritä sitten OpenDKIM ja lisää nämä rivit tiedostoon main.cf lisätty:

milter_protocol = 2
milter_default_action = accept
smtpd_milters = unix:/var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock

Nämä asetukset aktivoivat DKIM-signoinnin lähteville sähköposteille. DKIM lisää turvallisuutta varmistamalla, että sähköpostiviestejä ei ole muutettu huomaamatta, ja vahvistaa luottamusta viestien aitouteen.

Määritä DMARC-ohjeet

DMARC (Domain-based Message Authentication, Reporting and Conformance) perustuu SPF:ään ja DKIM:ään. Lisää DMARC DNS-merkintä toimialueellesi ja asenna OpenDMARC:

sudo apt install opendmarc

Määritä OpenDMARC ja lisää tämä rivi tiedostoon main.cf lisätty:

smtpd_milters = ... (olemassa olevat asetukset), inet:localhost:8893

Tämä määritys mahdollistaa DMARC-tarkistuksen saapuville sähköposteille. DMARC:n avulla verkkotunnusten omistajat voivat määrittää käytännöt sille, miten vastaanottavien palvelimien tulisi käsitellä epäonnistuneita SPF- tai DKIM-tarkistuksia, ja se tarjoaa yksityiskohtaisia raportteja sähköpostin todennuksesta.

Säännölliset päivitykset ja seuranta

Turvallisuus on jatkuva prosessi. Varmista, että päivität Postfix-järjestelmäsi säännöllisesti:

sudo apt update
sudo apt upgrade

Tarkkaile myös Postfixin lokitietoja epäilyttävän toiminnan varalta:

tail -f /var/log/mail.log-tiedosto

Säännölliset päivitykset sulkevat tunnetut tietoturva-aukot ja parantavat sähköpostipalvelimesi vakautta. Lokien jatkuvan seurannan ansiosta voit tunnistaa epätavalliset toiminnot varhaisessa vaiheessa ja reagoida niihin nopeasti.

Lisäturvallisuustoimenpiteet

Perus- ja edistyneiden turvatoimien lisäksi on olemassa lisätoimia, joilla voit parantaa Postfix-palvelimesi turvallisuutta entisestään:

Palomuurin konfigurointi

Varmista, että palomuurisi on avannut vain sähköpostipalvelimelle tarvittavat portit. Tyypillisesti nämä ovat portti 25 (SMTP), portti 587 (lähetys) ja portti 993 (IMAP SSL:n kautta). Käytä työkaluja, kuten ufw tai iptablesvalvoa pääsyä näihin portteihin ja estää ei-toivotut yhteydet.

Tunkeutumisen havaitsemisjärjestelmät (IDS)

Ota käyttöön tunkeutumisen havaitsemisjärjestelmä, kuten Fail2Banhavaitsemaan toistuvat epäonnistuneet kirjautumisyritykset ja estämään automaattisesti IP-osoitteet, jotka käyttäytyvät epäilyttävästi. Tämä vähentää sähköpostipalvelimeesi kohdistuvien brute force -hyökkäysten riskiä.

Varmuuskopiot ja palauttaminen

Tee säännöllisiä varmuuskopioita asetustiedostoista ja tärkeistä tiedoista. Tietoturvaloukkauksen sattuessa voit palauttaa tiedot nopeasti ja minimoida palvelukatkokset. Säilytä varmuuskopiot turvallisessa paikassa ja tarkista varmuuskopiotietojen eheys säännöllisesti.

Käyttäjien ja oikeuksien hallinta

Hallinnoi käyttäjätilejä huolellisesti ja anna vain tarvittavat oikeudet. Käytä vahvoja salasanoja ja harkitse monitekijätodennuksen (MFA) käyttöönottoa sähköpostipalvelimen käytön turvaamiseksi.

Parhaat käytännöt Postfixin ylläpitoon

Postfix-palvelimen jatkuva ylläpito on kriittisen tärkeää turvallisuuden ja suorituskyvyn ylläpitämiseksi. Seuraavassa on joitakin parhaita käytäntöjä:

Tarkista kokoonpano säännöllisesti: Tarkista säännöllisesti main.cf ja muut määritystiedostot varmistaaksesi, että kaikki turvatoimet on toteutettu oikein.

Lokianalyysi: Käytä työkaluja sähköpostilokien automaattiseen analysointiin, jotta voit nopeasti tunnistaa poikkeamat ja mahdolliset tietoturvaloukkaukset.

Ohjelmistopäivitykset: Päivitä Postfixin lisäksi myös kaikki riippuvaiset komponentit, kuten Dovecot, OpenDKIM ja OpenDMARC, säännöllisesti.

Seuranta ja hälytykset: Ota käyttöön seurantajärjestelmä, joka ilmoittaa epätavallisista toiminnoista tai virheilmoituksista.

Vältä yleisiä virheitä Postfix-konfiguraatiossa

Kun Postfixia konfiguroidaan turvallisuuden maksimoimiseksi, on olemassa yleisiä virheitä, joita tulisi välttää:

Avoin rele: Varmista, että palvelintasi ei ole määritetty avoimeksi välittäjäksi asettamalla asetukset inet_interfaces ja mynetworks-asetukset oikein.

Virheelliset TLS-varmenteet: Käytä aina voimassa olevia ja ajantasaisia SSL-varmenteita, jotta TLS-salausta voidaan käyttää tehokkaasti.

Puuttuva todennus: Ota SASL-todennus käyttöön palvelimen väärinkäytön estämiseksi.

Riittämättömät korkorajat: Aseta asianmukaiset yhteysrajoitukset palvelunestohyökkäysten estämiseksi.

Puuttuva SPF/DKIM/DMARC: Ota käyttöön kattavat sähköpostin todennusmenetelmät sähköpostiviestien eheyden ja aitouden varmistamiseksi.

Yhteenveto

Postfixin konfigurointi maksimaalista turvallisuutta varten vaatii huolellista suunnittelua ja säännöllistä ylläpitoa. Toteuttamalla tässä artikkelissa kuvatut toimenpiteet voit parantaa sähköpostipalvelimesi turvallisuutta merkittävästi. Muista, että tietoturva on jatkuva prosessi. Pysy ajan tasalla uusista uhkista ja parhaista käytännöistä, jotta Postfix-palvelimesi pysyy suojattuna. Hyödynnä saatavilla olevia resursseja ja yhteisöjä kouluttaaksesi itseäsi ja pysyäksesi tekniikan kärjessä.

Lisätietoja ja yksityiskohtaisia ohjeita saat virallisesta [Postfix documentation](https://www.postfix.org/documentation.html) ja muista luotettavista lähteistä sähköpostin tietoturvan alalla.

Nykyiset artikkelit

Nykyaikainen datakeskus, jossa on nopeat palvelimet SQL-tietokannan optimointia varten.

Plesk-verkkopalvelin

SQL-tietokannan optimointi - Kaikki mitä sinun tarvitsee tietää

Optimoi SQL-tietokantasi maksimaalista suorituskykyä varten. Löydä parhaat vinkit ja työkalut tietokannan suorituskyvyn parantamiseen.

huhtikuu 24, 2025 Ei kommentteja

Fotorealistinen esitys luovasta 404-sivun suunnittelusta nykyaikaisella näytöllä.

Hallinto

Mukautettu 404-sivu - Kaikki mitä sinun tarvitsee tietää siitä

Kaikki mukautetusta 404-sivusta: Käyttäjän opastus, SEO, parhaat käytännöt ja toteutus, jotta verkkosivustosi menestyisi paremmin.

huhtikuu 23, 2025 Ei kommentteja

Työpöytä, jossa on tietokone ja sopimusasiakirjoja toimistossa, ilman tekstiä.

cms

Webhotellin peruuttaminen - Mitä sinun pitäisi tietää ennen kuin päätät?

Kaikki mitä sinun tarvitsee tietää web-hostingin irtisanomisesta: Selitetään määräajat, tietojen varmuuskopiointi, verkkotunnuksen säilyttäminen ja palveluntarjoajan vaihtaminen.