Szoftver

Postfix beállítások - Minden, amit tudni kell

A jobb oldali Postfix beállítások meghatározza a levelezőszerver biztonságát és funkcionalitását. Ebben a cikkben bemutatom az összes kulcsfontosságú paramétert, elmagyarázom az ajánlott konfigurációs módszereket, és gyakorlati példákat adok a produktív használathoz.

Központi pontok

main.cf és master.cf a Postfix konfiguráció vezérlőközpontjai.
Egy Smarthost lehetővé teszi a biztonságos postaküldést külső szolgáltatókon keresztül.
STARTTLS titkosított átvitelt biztosít - hasznos és könnyen konfigurálható.
Maildir formátum növeli a megbízhatóságot és a kompatibilitást az IMAP-ügyfelekkel.
Helyes Feladói címek és az SPF/DKIM növeli a kézbesítési arányt.

Fontos konfigurációs fájlok és eszközök

A fájl /etc/postfix/main.cf határozza meg a Postfix szinte minden alapvető funkcióját. Ezen kívül a master.cf az egyes szolgáltatások, például az smtpd vagy a pickup működése. A rugalmasabb testreszabásokhoz a parancssori eszköz postconf - tökéletes az utolsó pillanatban, szerkesztő nélkül történő módosításokhoz.

Ha mélyebben szeretne elmélyülni, megtalálja a következőket ez a Postfix szerver beállítási útmutatója gyakorlati útmutató lépésről lépésre. A main.cf és a postconf kombinációja struktúrát és rugalmasságot kínál egyetlen megoldásban.

Nagyobb levelezőszerverek esetében érdemes a konfigurációs fájlok számára verziókezelő rendszert is használni. Az olyan rendszerek, mint a Git, lehetővé teszik a változtatások gyors nyomon követését és szükség esetén visszavonását. Ez nemcsak időt takarít meg, hanem biztonságot is nyújt, amikor frissítésekről vagy új funkciókról van szó. Felhívjuk figyelmét, hogy az érzékeny adatok, például a jelszavak nem tárolódnak egyszerű szövegben a Gitben.

Az alapok megértése - alapvető paraméterek

Egy működő levelezőszerverhez megfelelő alapstruktúrára van szükség. Minimumként a következő beállításokat kell helyesen beállítania:

myhostnamepl. mail.yourserver.com
myorigin: többnyire azonos a $mydomain
inet_interfaces = allMinden interfészről fogad kapcsolatokat
home_mailbox = Maildir/az e-maileket biztonságos Maildir formátumba rendezi

Ezek a beállítások határozzák meg, hogy a kiszolgáló hogyan küld, fogad és tárolja az e-maileket helyben. Gyakran elfelejtik, hogy mynetworks megfelelően kell beállítani, hogy csak az engedélyezett IP-címek rendelkezzenek reléjoggal. Különösen nagyobb környezetekben vagy több IPv4- és IPv6-cím esetén a megbízható hálózatok pontos meghatározása rendkívül fontos lehet.

A több tartományra képes beállítások esetében az is fontos, hogy virtual_alias_domains és virtual_alias_maps konfigurálni. Ez lehetővé teszi több tartomány üzemeltetését ugyanazon a szerveren anélkül, hogy minden tartományhoz külön példányra lenne szükség. A fő konfiguráció ugyanaz marad; csak azt kell meghatározni, hogy mely tartományok milyen helyi rendszerfelhasználókhoz vagy külső címekhez legyenek feloldva.

A Postfix intelligens állomásként való beállítása

Ha azt szeretné, hogy a kiszolgálója csak e-maileket küldjön, akkor használhat csak küldési módot egy intelligens tárhelyen keresztül. Ehhez a következőkre van szüksége:

Belépés relayhost = [smtp.provider.de]:587 a main.cf fájlban
Felhasználónév és jelszó a /etc/postfix/sasl_passwd
A fájl biztosítása chmod 600 és hash generálás a postmap

Ne feledje: TLS-re és hitelesítésre van szüksége a smtp_sasl_auth_enable = yes. Ez megvédi a szerverét a visszaélésektől. Ez is nagyon hasznos, smtp_sasl_security_options = noanonymous hogy az SMTP-kapcsolat ne legyen nyitva névtelen hitelesítési kísérletek előtt.

Ha nagy mennyiségű e-mail küldését felügyeli, előnyös lehet a naplózást ennek megfelelően kiterjeszteni, és olyan eszközöket használni, mint például a pflogsumm használni. Ez napi jelentéseket biztosít az intelligens tárhelyen keresztül futó küldési mennyiségről, hibákról és potenciális spam-kísérletekről.

Biztonságos feladói címek a sender_canonical_maps segítségével

Az olyan levelezőszolgáltatók, mint a Gmail, elutasítják az érvényes feladói cím nélküli e-maileket. A oldalról sender_canonical_maps a helyi rendszerneveket, például az "ubuntu"-t valódi feladói címekké alakítja át. Ez egy leképező fájl segítségével történik, például így:

webuser [email protected]

Minden változtatás után mindig postmap és töltse újra a Postfixet. Ellenkező esetben az új beállítások nem lépnek hatályba. Több projektet vagy aldomaint tartalmazó környezetben hasznos lehet ezeket a kanonikus leképezéseket nagyon finoman strukturálni. Például a "webuser1" automatikusan leképezhető a "[email protected]"-ra, míg a "webuser2" a "[email protected]"-ként jelenik meg. Ez tisztán tartja a rendszer belső struktúráját, és elkerüli a nagy szolgáltatók elutasítását.

SSL és TLS titkosítás aktiválása

Az adatvédelem és a megbízhatóság szorosan kapcsolódik a szállítás titkosításához. A legegyszerűbb változatban a TLS-t a :

smtp_tls_security_level = may

A kötelező titkosításhoz használja helyette a titkosítani. A kapcsolódó tanúsítványokat a smtpd_tls_cert_file és smtpd_tls_kulcs_fájl. A fedezeti ügyletekről többet megtudhat a cikkből A Postfix konfigurálása tökéletes továbbítási titkossággal.

Győződjön meg róla, hogy a tanúsítvány megbízható, nem járt le, és nem önaláírt. Bár az önaláírt tanúsítványok elegendőek a teszteléshez, a szolgáltatók vagy a címzett levelezőszerverek gyakran nem minősítik őket biztonságosnak. A Let's Encrypt ingyenes és automatikusan megújuló tanúsítványokat kap, ami sok kézi munkát takarít meg, és szilárd alapot biztosít a titkosított kapcsolatokhoz.

A gyenge titkosítási módszerek elkerülése érdekében testre szabhatja a titkosítási készleteket is. Még ha ez bizonyos esetekben kompatibilitási problémákat is okoz a régebbi levelezőszerverekkel, általában érdemes csak a modern protokollokat, például a TLS 1.2-t vagy magasabb szintű protokollokat engedélyezni.

Postfix és Maildir a megbízható levélkézbesítéshez

A Maildir-format minden egyes levelet különálló fájlként ment. Ez megakadályozza az adatvesztést, és megkönnyíti az IMAP hozzáférést olyan klienseken keresztül, mint a Thunderbird vagy a Roundcube. Adja meg ezt:

home_mailbox = Maildir/

Létre kell hoznia a ~/Maildir kezdetben. Az Apache, a Dovecot és a Postfix évek óta gond nélkül együttműködik a Maildirrel.

Ha Ön is szeretne levelezési könyvtáranként kvótaszabályokat bevezetni, érdemes megnézni az IMAP-kiszolgáló, például a Dovecot konfigurációját. Ott tárolási korlátozásokat határozhat meg az egyes postafiókok számára, így a szerver erőforrásokat kordában tarthatja. A Maildir és a Dovecot szoros integrációjának köszönhetően figyelmeztetéseket definiálhat a felhasználók számára, ha hamarosan elérik a korlátot.

Sorok, hibaelemzés és naplófájlok

Minden módosítás után mentse el a konfigurációt a következővel sudo postfix check csekk. A hibákat felismerheti a fájlban /var/log/mail.log vagy /var/log/maillog. Az eszköz megjeleníti a nyitott üzeneteket mailq on.

A naplóbejegyzések a legjobb eszköz az olyan problémák felismerésére, mint a helytelen DNS-bejegyzések vagy a kapcsolat megszakadása. Ha ismételten "a tanúsítvány ellenőrzése sikertelen" üzeneteket lát, ez a cikk segít Önnek: TLS hibák elhárítása a Gmail segítségével.

Különösen a nagy mennyiségű levelek esetében hasznos lehet a visszapattanó üzenetek nyomon követése. A postsuper törölheti az egyes üzeneteket a várólistáról, vagy hiba esetén újra kézbesítheti azokat. postcat lehetővé teszi, hogy megnézze a még mindig a várólistán lévő levelek tartalmát. Így gyorsan megállapíthatja, hogy a hibás fejlécek vagy a hiányzó feladói címek veszélyeztetik-e a sikerességet és a kézbesítési arányt.

Biztonsági óvintézkedések végrehajtása

Egy jól konfigurált levelezőszerver több szintű biztonsági mechanizmusokat igényel. Kérjük, vegye figyelembe a következő pontokat:

Állítsa be a mynetworks megbízható IP-tartományokhoz (pl. 127.0.0.0.1, ::1)
Biztonságos SMTP hozzáférési adatok használata
TLS aktiválása érvényes tanúsítványokkal
SPF, DKIM és opcionális szürkelista beállítása

Ez növeli a kézbesítési arányt, és megvédi Önt a visszaélésektől. Ne feledje, hogy az SPF és a DKIM csak akkor működik, ha a DNS-bejegyzések helyesen vannak beállítva. A DKIM esetében érdemes minden tartományhoz külön kulcsot létrehozni, és azt automatikusan cserélni. Ez megakadályozza, hogy egy kompromittált kulcsot hosszú távon használjanak.

További védelmet nyújt a spamek ellen az RBL (valós idejű feketeluk-listák) vagy a DNSBL (DNS-alapú feketeluk-lista) szolgáltatások integrálása. A megfelelő bejegyzésekkel a main.cf blokkolhatja az ismert spamhálózatokból érkező kapcsolatokat, még mielőtt azok elérnék a levelezőszerverét.

Kibővített beállítási lehetőségek és funkciók

A Postfix számos lehetőséget kínál az összetett forgatókönyvek leképezésére. A címen header_checks és body_checks például szűrheti azokat az e-maileket, amelyek bizonyos karakterláncokat tartalmaznak a fejlécben vagy a testben. Ez segíthet kiszűrni a spameket vagy a veszélyes mellékleteket, mielőtt azok eljutnának a rendszerébe. Az érzékeny adatokat védő vállalatok számára hasznos lehet bizonyos fájltípusok, például .exe fájlok vagy szkriptek egyszerű blokkolása.

További érdekességek:

Postfix házirend-szolgáltatásokItt úgynevezett policy daemonok segítségével valós időben dönthetünk arról, hogy egy e-mailt elfogadunk, elutasítunk vagy elküldünk egy szürkelistázási ciklusban.
Az egyidejű kapcsolatok korlátozásaNagy terhelési csúcsok esetén érdemes lehet IP-nként csak bizonyos számú egyidejű SMTP-kapcsolatot engedélyezni a DDOS-szerű támadások megelőzése érdekében.
Cím átírása: A küldő kanonikus térképek mellett a címzettek számára is vannak átírási lehetőségek (recipient_canonical_maps), amelyekkel a belső elnevezési séma elrejthető a külső küldőktől.

Különösen nagy hálózatokban vagy megosztott webtárhelyet kínáló tárhelyszolgáltatóknál gyakran előfordul, hogy sok különböző alkalmazás küld e-maileket. A feladói címek szigorú szétválasztása és egy világosan strukturált leképezőmotor itt elengedhetetlen annak biztosításához, hogy minden alkalmazás a megfelelő feladói tartományt használja. Az e területen elkövetett hibás beállítások gyakran vezetnek DMARC-hibákhoz vagy visszautasított kézbesítésekhez.

A Postfix bővítése a Dovecot, ClamAV & Co.

A bejövő levelekhez egy IMAP/POP3 szerverre is szükséged van, mint például a Dovecot. Az olyan vírusirtók és spamszűrők, mint az Amavis, a SpamAssassin vagy a ClamAV teszik teljessé a beállítást. Ezek együtt egy komplett levelezőszerver, amelyet webmail hozzáférésen keresztül is kezelhet. A Roundcube egyszerű felületet kínál a böngészőben.

Ezek a komponensek a Postfix kiszolgálót egy teljes körű hozzáférés-szabályozással ellátott levelezőközponttá bővítik - ideális a vállalatok és az önfoglalkoztatók számára. Az Amavis például a SpamAssassin és a ClamAV segítségével a SpamAssassinnal és a ClamAV-val kombinálva meghatározhatja az e-mailek spam-szintjét, valamint elutasíthatja a vírusfertőzött üzeneteket. A karantén feldolgozásához ajánlott egy webes felület, hogy a rendszergazdák gyorsan feloldhassák a helytelenül kiválogatott e-maileket ("hamis pozitívumok"). Ez megkönnyíti a naplók és a spam-statisztikák nyomon követését is.

A Postfix tárhelyszolgáltatók közvetlen összehasonlítása

Nem szeretne saját szervert üzemeltetni? Egyes szolgáltatók teljes root hozzáférést kínálnak optimalizált Postfix integrációval. Az összehasonlítás:

Szolgáltató	Teljesítmény	Ár	Biztonság	Ajánlás
webhoster.de	Nagyon jó	Kedvező	Magas	1 (tesztgyőztes)
B szolgáltató	Jó	Közepes	Magas	2
Szolgáltató C	Elégséges	Kedvező	Közepes	3

Attól függően, hogy mennyi e-mailt vár naponta, és milyen funkciókat szeretne saját maga kezelni, a megfelelő tárhelyszolgáltató kiválasztása eltérő lesz. Egyes szolgáltatók automatikus DDoS-védelmi rendszereket tesznek lehetővé, ami különösen hasznos a spam-kísérletek áradata esetén. A támogatás szintén fontos szerepet játszik: hiba esetén gyorsan segítséget kell kapnia, hogy a lehető legkisebb legyen az állásidő.

Összefoglaló - A végső értékelésem

A megfelelő Postfix beállítások olyan beállítást érhet el, amely egyszerre biztonságos és hatékony. Mindössze annyit kell tennie, hogy világosan strukturálja a konfigurációs fájlokat, figyelmet fordít az intelligens hosztküldésre és helyesen használja a titkosítást. Könnyen belevághat - feltéve, hogy betartja az ajánlott paramétereket, és lépésről lépésre halad.

Az olyan eszközök, mint a mailq, a postmap és a Postfix naplók lehetővé teszik a problémák folyamatos nyomon követését. Használja értelmesen a meglévő bővítményeket, hogy az e-mail küldése ne gyenge pont legyen, hanem stabil alapját képezze a kommunikációnak. Egy kis tapasztalattal és következetes karbantartással rá fog jönni, hogy mennyire robusztus a beállítása, és hogy saját levelezőszerverét milyen jól be lehet illeszteni egy professzionális IT-infrastruktúrába. Ha olyan modulokat is használ, mint a Dovecot, a SpamAssassin és a ClamAV, akkor még az üzleti környezetben támasztott igényes követelményeknek is megfelelhet, és végül teljes kontrollt szerezhet vállalata levélforgalma felett.

Aktuális cikkek

Szerverterem központi naplóelemzéssel és műszerfallal

Adminisztráció

Naplóösszesítések a tárhelyszolgáltatásban: Hogyan nyerhetünk új betekintést a szervernaplókból?

A naplóösszesítés a tárhelyen segít a szervernaplók központi elemzésében. Fedezze fel a jobb teljesítményt és biztonságot szolgáló módszereket és eszközöket. Fókusz: Naplóösszesítés.

október 22, 2025 Nincs hozzászólás

SSL hosting biztonság webszerverekkel és zöld lakatokkal

Plesk biztonság

Automatikus SSL megújítás a tárhelyen: hibaforrások és megoldások

Az automatikus SSL-megújítás a tárhelyen garantálja a biztonságot - a problémák gyakran a DNS, a gyorsítótár vagy a szerver hibái miatt merülnek fel. Ez segít elkerülni a tipikus SSL-hibákat.

október 22, 2025 Nincs hozzászólás

A tárhely-infrastruktúra professzionális biztonsági auditja digitális megfelelőség-kezeléssel

Törvény

Host audit: Hogyan ellenőrizheti a biztonsági konfigurációkat és a megfelelőséget a tárhelyszolgáltatónál?

Professzionális tárhely audit útmutató: Ismerje meg, hogyan ellenőrizheti szisztematikusan a biztonsági konfigurációkat, a megfelelőségi szabványokat és a szolgáltatás minőségét a tárhelyszolgáltatójánál.

október 22, 2025 Nincs hozzászólás