Alapvető biztonsági beállítások
Mielőtt a fejlett biztonsági intézkedésekkel foglalkoznánk, meg kell győződnünk arról, hogy az alapbeállítások megfelelőek. Ez magában foglalja a Postfix kiszolgálóhoz való hozzáférés korlátozását. A fájlban /etc/postfix/main.cf a következő sorokat kell hozzáadni vagy módosítani:
inet_interfaces = loopback-only mynetworks = 127.0.0.0/8 [::1]/128
Ezek a beállítások korlátozzák a hozzáférést a helyi állomáshoz, és megakadályozzák, hogy a kiszolgálót nyílt reléként használják vissza. A nyílt relét a spamküldők nem kívánt e-mailek küldésére használhatják, ami súlyosan károsíthatja a kiszolgáló hírnevét. Ezért létfontosságú, hogy ezt az alapvető védelmet elvégezze.
TLS titkosítás aktiválása
A TLS (Transport Layer Security) használata elengedhetetlen az e-mail kommunikáció titkosságának biztosításához. Adja hozzá a következő sorokat a main.cf-fájl:
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_security_level = may smtp_tls_security_level = may
Ezek a beállítások aktiválják a TLS-t a bejövő és kimenő kapcsolatokhoz. Győződjön meg róla, hogy érvényes SSL-tanúsítványokat használ, ideális esetben egy megbízható hitelesítésszolgáltatótól (CA). A helyesen bevezetett TLS megvédi az e-maileket a lehallgatástól és a manipulációtól az átvitel során. A TLS konfigurálásával kapcsolatos további információk a hivatalos [Postfix dokumentációban](https://www.postfix.org/TLS_README.html) találhatók.
SASL-hitelesítés beállítása
Az egyszerű hitelesítési és biztonsági réteg (SASL) további biztonsági réteget biztosít. Adja hozzá ezeket a sorokat a main.cf hozzáadva:
smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname
Ez a konfiguráció feltételezi, hogy a Dovecotot használja SASL-szolgáltatóként. Ha más szolgáltatót használ, akkor ennek megfelelően módosítsa a beállításokat. A SASL-hitelesítés megakadályozza, hogy az illetéktelen felhasználók e-maileket küldjenek a kiszolgálón keresztül, ami jelentősen növeli a biztonságot.
Védelem a szolgáltatásmegtagadási támadások ellen
A szerver túlterheléstől való megóvása érdekében kapcsolati korlátokat állíthat be. Adja hozzá ezeket a sorokat a main.cf hozzáadva:
smtpd_client_connection_rate_limit = 50 smtpd_client_message_rate_limit = 100 anvil_rate_time_unit = 60s
Ezek a beállítások korlátozzák az ügyfél által percenként küldhető kapcsolatok és üzenetek számát. Ennek korlátozásával megakadályozhatja, hogy a kiszolgálót tömeges kérések vagy spam e-mailek túlterheljék. Ez egy fontos lépés a levelezőszerver rendelkezésre állásának biztosításához.
HELO/EHLO korlátozások bevezetése
Sok spamküldő érvénytelen vagy hamisított HELO/EHLO állomásneveket használ. Az ilyen kapcsolatokat a következő beállításokkal blokkolhatja:
smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
Ezek a szabályok érvényes HELO/EHLO állomásnevet követelnek meg, és elutasítják az érvénytelen vagy hiányosan minősített tartományneveket. Ez megnehezíti a spammerek számára a hamis e-mailek küldését, mivel helyes HELO/EHLO információkat kell megadniuk.
Adókészülék-korlátozások bevezetése
A szerverrel való visszaélések megelőzése érdekében korlátozásokat állíthat be a küldők számára:
smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining
Ezek a szabályok elutasítják a hiányosan minősített feladói címekről vagy ismeretlen feladói tartományokból érkező e-maileket. Ez csökkenti annak valószínűségét, hogy a szerverét spam vagy adathalászat céljára használják, és egyúttal javítja a beérkező e-mailek általános minőségét.
Címzettek korlátozásának beállítása
A küldői korlátozásokhoz hasonlóan a címzettekre is meghatározhat szabályokat:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient, reject_unknown_recipient_domain
Ezek a beállítások megakadályozzák, hogy szerverét jogosulatlan célállomások számára reléként használják fel, és elutasítják az érvénytelen címzett címekre küldött e-maileket. Ez tovább növeli a szerver biztonságát, és egyúttal garantálja az e-mail kommunikáció integritását.
Greylisting bevezetése
A szürkelista hatékony módszer a spamek csökkentésére. Először telepítse a Postgrey csomagot:
sudo apt install postgrey
Ezután adjuk hozzá a következő sort a main.cf hozzáadva:
smtpd_recipient_restrictions = ... (meglévő beállítások) check_policy_service unix:private/postgrey
Ez a konfiguráció először továbbítja a bejövő e-maileket a Postgrey szolgáltatásnak, amely ideiglenes elutasítást generál az ismeretlen küldő számára. A legitim e-maileket küldő e-mail-kiszolgálók egy késleltetés után újra megpróbálják a kézbesítést, így hatékonyan kiküszöbölve a spamküldőket, akik gyakran csak egyszer próbálnak küldeni.
SPF-ellenőrzés aktiválása
Az SPF (Sender Policy Framework) segít megelőzni az e-mail hamisítást. Először telepítse a szükséges csomagot:
sudo apt install postfix-policyd-spf-python
Ezután adjuk hozzá ezeket a sorokat a main.cf hozzáadva:
policyd-spf_time_limit = 3600s smtpd_recipient_restrictions = ... (meglévő beállítások) check_policy_service unix:private/policyd-spf
Ez a beállítás aktiválja a bejövő e-mailek SPF-ellenőrzését. Az SPF ellenőrzi, hogy az e-mailt a megadott tartomány engedélyezett kiszolgálójáról küldték-e, ami segít megelőzni a hamisítást és növeli az e-mail kommunikáció hitelességét.
DKIM-aláírás végrehajtása
A DomainKeys Identified Mail (DKIM) digitális aláírást ad a kimenő e-mailekhez. Először telepítse az OpenDKIM-et:
sudo apt install opendkim opendkim-tools
Ezután konfigurálja az OpenDKIM-et, és adja hozzá ezeket a sorokat a main.cf hozzáadva:
milter_protokoll = 2 milter_default_action = accept smtpd_milters = unix:/var/run/opendkim/opendkim.sock non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
Ezek a beállítások aktiválják a DKIM aláírást a kimenő e-mailek számára. A DKIM növeli a biztonságot, mivel biztosítja, hogy az e-maileket nem változtatták meg észrevétlenül, és erősíti az üzenetek hitelességébe vetett bizalmat.
DMARC irányelvek beállítása
A DMARC (Domain-based Message Authentication, Reporting and Conformance) az SPF-en és a DKIM-en alapul. Adjon hozzá egy DMARC DNS-bejegyzést a tartományához, és telepítse az OpenDMARC-ot:
sudo apt install opendmarc
Konfiguráljuk az OpenDMARC-ot és adjuk hozzá ezt a sort a main.cf hozzáadva:
smtpd_milters = ... (meglévő beállítások), inet:localhost:8893
Ez a beállítás lehetővé teszi a DMARC-ellenőrzést a bejövő e-mailek esetében. A DMARC lehetővé teszi a tartománytulajdonosok számára, hogy házirendeket állítsanak be arra vonatkozóan, hogy a fogadó szerverek hogyan kezeljék a sikertelen SPF vagy DKIM ellenőrzéseket, és részletes jelentéseket ad az e-mail hitelesítésről.
Rendszeres frissítések és nyomon követés
A biztonság egy folyamatos folyamat. Győződjön meg róla, hogy rendszeresen frissíti Postfix rendszerét:
sudo apt update sudo apt frissítés
Figyelje a Postfix naplóit is a gyanús tevékenységekre:
tail -f /var/log/mail.log
A rendszeres frissítések az ismert biztonsági réseket zárják be, és javítják a levelezőszerver stabilitását. A naplófájlok folyamatos figyelése lehetővé teszi, hogy a szokatlan tevékenységeket idejekorán felismerje, és gyorsan reagáljon rájuk.
További biztonsági intézkedések
Az alapvető és a fejlett biztonsági intézkedéseken kívül további lépéseket is tehet a Postfix-kiszolgáló biztonságának további növelése érdekében:
Tűzfal konfiguráció
Győződjön meg róla, hogy a tűzfal csak a levelezőszerver számára szükséges portokat nyitotta meg. Ezek jellemzően a 25-ös port (SMTP), az 587-es port (benyújtás) és a 993-as port (IMAP SSL-en keresztül). Használjon olyan eszközöket, mint például ufw vagy iptableshogy ellenőrizze a hozzáférést ezekhez a portokhoz, és blokkolja a nem kívánt kapcsolatokat.
Behatolásérzékelő rendszerek (IDS)
Behatolásérzékelő rendszer bevezetése, például Fail2Banaz ismételt sikertelen bejelentkezési kísérletek észlelésére és a gyanús viselkedést mutató IP-címek automatikus blokkolására. Ez csökkenti a levelezőszerverét érő nyers erővel végrehajtott támadások kockázatát.
Biztonsági mentések és helyreállítás
Rendszeresen készítsen biztonsági mentéseket a konfigurációs fájljairól és fontos adatairól. Biztonsági incidens esetén gyorsan helyreállíthatja a rendszert, és minimalizálhatja a szolgáltatás megszakadását. Tárolja a biztonsági mentéseket biztonságos helyen, és rendszeresen ellenőrizze a biztonsági másolat adatainak sértetlenségét.
Felhasználó- és jogkezelés
Gondosan kezelje a felhasználói fiókokat, és csak a szükséges jogokat ossza ki. Használjon erős jelszavakat, és fontolja meg a többfaktoros hitelesítés (MFA) bevezetését a levelezőszerverhez való hozzáférés további biztonsága érdekében.
Legjobb gyakorlatok a Postfix karbantartásához
A Postfix kiszolgáló folyamatos karbantartása kritikus fontosságú a biztonság és a teljesítmény fenntartása szempontjából. Íme néhány bevált gyakorlat:
- Rendszeresen ellenőrizze a konfigurációt: Rendszeresen ellenőrizze a
main.cfés egyéb konfigurációs fájlokat, hogy biztosítsa az összes biztonsági intézkedés helyes végrehajtását. - Naplóelemzés: A levelezési naplók automatikus elemzésére szolgáló eszközökkel gyorsan azonosíthatja az anomáliákat és a potenciális biztonsági incidenseket.
- Szoftverfrissítések: Nem csak a Postfix, hanem az összes függő komponens, például a Dovecot, az OpenDKIM és az OpenDMARC rendszeres frissítése.
- Monitoring és riasztások: Vezessen be olyan felügyeleti rendszert, amely értesíti Önt a szokatlan tevékenységekről vagy hibaüzenetekről.
A Postfix konfigurációban előforduló gyakori hibák elkerülése
A Postfix beállításakor a biztonság maximalizálása érdekében vannak olyan gyakori hibák, amelyeket el kell kerülni:
- Nyitott relé: Győződjön meg róla, hogy a kiszolgálója nem nyílt reléként van konfigurálva a
inet_interfacesésmynetworks-beállítások helyesen. - Érvénytelen TLS tanúsítványok: A TLS-titkosítás hatékony használatához mindig érvényes és naprakész SSL-tanúsítványokat használjon.
- Hiányzó hitelesítés: Aktiválja a SASL-hitelesítést, hogy megakadályozza a kiszolgálóval való visszaélést.
- Elégtelen árfolyamkorlátozás: Állítson be megfelelő kapcsolódási korlátokat a szolgáltatásmegtagadási támadások megelőzése érdekében.
- Hiányzó SPF/DKIM/DMARC: Alkalmazzon átfogó e-mail hitelesítési módszereket az e-mailek integritásának és hitelességének biztosítása érdekében.
Összefoglaló
A Postfix maximális biztonságot nyújtó beállítása gondos tervezést és rendszeres karbantartást igényel. Az ebben a cikkben leírt intézkedések végrehajtásával jelentősen javíthatja e-mail kiszolgálójának biztonságát. Ne feledje, hogy a biztonság egy folyamatos folyamat. Maradjon naprakész az új fenyegetésekkel és a legjobb gyakorlatokkal kapcsolatban, hogy a Postfix kiszolgálója védve legyen. Használja ki a rendelkezésre álló forrásokat és közösségeket, hogy képezze magát, és a technológia élvonalában maradjon.
További információkért és részletes utasításokért látogasson el a hivatalos [Postfix dokumentáció](https://www.postfix.org/documentation.html) és más megbízható forrásokhoz az e-mail biztonság területén.
