Vai al contenuto 
Il diritto Impostazioni di Postfix determinano la sicurezza e la funzionalità del vostro server di posta. In questo articolo vi mostrerò tutti i parametri chiave, spiegherò i metodi di configurazione consigliati e vi fornirò esempi pratici per un uso produttivo.
Punti centrali
- main.cf e master.cf sono i centri di controllo della configurazione di Postfix.
- A Smarthost consente l'invio sicuro della posta tramite provider esterni.
- STARTTLS garantisce trasmissioni crittografate - ragionevole e facile da configurare.
- Maildir come formato aumenta l'affidabilità e la compatibilità con i client IMAP.
- Corretto Indirizzi del mittente e SPF/DKIM aumentano i tassi di consegna.
File di configurazione e strumenti importanti
Il file /etc/postfix/main.cf determina quasi tutte le funzioni principali di Postfix. Inoltre, il file master.cf il funzionamento di singoli servizi come smtpd o pickup. Per personalizzazioni più flessibili, lo strumento a riga di comando postconf - perfetto per le modifiche dell'ultimo minuto senza un editor.
Se volete approfondire l'argomento, troverete questa guida all'installazione del server Postfix una guida pratica passo-passo. La combinazione di main.cf e postconf offre struttura e flessibilità in un'unica soluzione.
Per i server di posta più grandi, vale la pena di utilizzare un sistema di gestione delle versioni per i file di configurazione. Sistemi come Git consentono di monitorare rapidamente le modifiche e di annullarle se necessario. Questo non solo fa risparmiare tempo, ma offre anche sicurezza quando si tratta di aggiornamenti o nuove funzionalità. Si noti che i dati sensibili, come le password, non vengono memorizzati in chiaro in Git.
Comprendere le basi - parametri essenziali
Un server di posta funzionante richiede una struttura di base corretta. Come minimo, è necessario impostare correttamente le seguenti opzioni:
myhostnamead esempio mail.yourerver.comorigine: per lo più identico a$mydomaininet_interfaces = tuttiAccetta connessioni da tutte le interfaccehome_mailbox = Maildir/smista le e-mail nel formato sicuro di Maildir
Queste impostazioni determinano il modo in cui il server invia, riceve e salva le e-mail a livello locale. Spesso si dimentica che reti deve essere impostato in modo appropriato, affinché solo gli indirizzi IP autorizzati abbiano diritti di relay. Soprattutto in ambienti di grandi dimensioni o con più indirizzi IPv4 e IPv6, la definizione precisa delle reti fidate può essere estremamente importante.
Per le configurazioni con capacità multidominio, è anche importante domini_alias_virtuali e mappe_alias_virtuali da configurare. Ciò consente di gestire più domini sullo stesso server senza che sia necessaria un'istanza separata per ogni dominio. La configurazione principale rimane la stessa; si definisce solo quali domini sono risolti a quali utenti del sistema locale o indirizzi esterni.
Configurare Postfix come smart host
Se si desidera che il server invii solo e-mail, è possibile utilizzare una modalità di solo invio tramite un host intelligente. Per questo è necessario:
- Ingresso
relayhost = [smtp.provider.de]:587nel file main.cf - Nome utente e password tramite
/etc/postfix/sasl_passwd - Proteggere il file con
chmod 600e la generazione di hash conpostmap
Ricordate: è necessario TLS e l'autenticazione con smtp_sasl_auth_enable = sì. In questo modo si protegge il server da un uso improprio. È anche molto utile, smtp_sasl_security_options = noanonymous in modo che la connessione SMTP non sia aperta a tentativi di autenticazione anonimi.
Se si sta monitorando l'invio di grandi volumi di e-mail, può essere vantaggioso estendere il logging di conseguenza e utilizzare strumenti come pflogsumm da utilizzare. Questo vi fornirà rapporti giornalieri sul volume di invio, sugli errori e sui potenziali tentativi di spam che avvengono tramite il vostro smart host.
Indirizzi di mittente sicuri con sender_canonical_maps
I provider di posta elettronica come Gmail rifiutano le e-mail senza un indirizzo mittente valido. Circa mittente_mappe_canoniche si convertono i nomi dei sistemi locali, come "ubuntu", in veri e propri indirizzi di mittente. Ciò avviene tramite un file di mappatura, ad esempio come questo:
webuser [email protected]Dopo ogni modifica postmap e ricaricare Postfix. Altrimenti le nuove impostazioni non avranno effetto. In ambienti con diversi progetti o sottodomini, può essere utile strutturare queste mappe canoniche in modo molto preciso. Ad esempio, "webuser1" può essere mappato automaticamente su "[email protected]", mentre "webuser2" appare come "[email protected]". In questo modo si mantiene pulita la struttura interna del sistema e si evitano i rifiuti da parte dei grandi provider.
Attivare la crittografia SSL e TLS
La protezione e l'affidabilità dei dati sono strettamente legate alla crittografia del trasporto. Nella variante più semplice, si attiva TLS con :
smtp_tls_security_level = mayPer la crittografia obbligatoria si usa invece crittografare. Si definiscono i certificati associati in smtpd_tls_cert_file e smtpd_tls_file_chiave. Per saperne di più sull'hedging, consultate l'articolo Configurazione di Postfix con Perfect Forward Secrecy.
Assicuratevi che il vostro certificato sia affidabile, non scaduto o autofirmato. Sebbene i certificati autofirmati siano sufficienti per i test, spesso vengono classificati come insicuri dai provider o dai server di posta dei destinatari. Con Crittografiamo ricevete certificati gratuiti e rinnovabili automaticamente, che vi risparmiano un sacco di lavoro manuale e forniscono una solida base per le connessioni crittografate.
È inoltre possibile personalizzare le suite di cifratura per evitare metodi di crittografia deboli. Anche se in alcuni casi questo crea problemi di compatibilità con i server di posta più vecchi, di solito vale la pena di consentire solo protocolli moderni come TLS 1.2 o superiore.
Postfix e Maildir per una consegna affidabile della posta elettronica
Il sito Maildir-Il formato salva ogni messaggio come file individuale. Questo evita la perdita di dati e facilita l'accesso IMAP tramite client come Thunderbird o Roundcube. Specificare per questo:
home_mailbox = Maildir/È necessario creare anche la directory ~/Maildir inizialmente. Apache, Dovecot e Postfix lavorano insieme a Maildir da anni senza alcun problema.
Se si desidera introdurre regole di contingentamento per directory di posta, è opportuno dare un'occhiata alla configurazione del server IMAP, come Dovecot. In questo caso, è possibile definire restrizioni di archiviazione per le singole caselle di posta, in modo da tenere sotto controllo le risorse del server. Grazie alla stretta integrazione tra Maildir e Dovecot, è possibile definire avvisi per gli utenti che stanno per raggiungere il limite.
Code, analisi degli errori e file di log
Dopo ogni modifica, si deve salvare la configurazione con sudo postfix check controllo. È possibile riconoscere gli errori nel file /var/log/mail.log oppure /var/log/maillog. Lo strumento visualizza i messaggi aperti mailq in funzione.
Le voci di registro sono lo strumento migliore per riconoscere problemi quali voci DNS errate o disconnessioni. Se si visualizzano ripetutamente messaggi di "verifica del certificato non riuscita", questo articolo vi aiuterà: Risoluzione degli errori TLS con Gmail.
Soprattutto in scenari con un elevato volume di posta, può essere utile tenere d'occhio i messaggi di rimbalzo. Con postsuper è possibile eliminare singoli messaggi dalla coda o riconsegnarli in caso di errori. postcat permette di dare un'occhiata al contenuto di una mail ancora in coda. In questo modo è possibile determinare rapidamente se intestazioni errate o indirizzi di mittente mancanti stanno compromettendo i tassi di successo e di consegna.
Implementare le precauzioni di sicurezza
Un server di posta ben configurato necessita di meccanismi di sicurezza a diversi livelli. Si prega di notare i seguenti punti:
- Set reti a intervalli IP affidabili (ad es. 127.0.0.1, ::1)
- Utilizzare dati di accesso SMTP sicuri
- Attivare TLS con certificati validi
- Impostazione di SPF, DKIM e greylisting opzionale
Questo aumenterà il tasso di consegna e vi proteggerà da eventuali abusi. Ricordate che SPF e DKIM funzionano solo se le voci DNS sono impostate correttamente. Per quanto riguarda il DKIM, è buona norma creare una chiave separata per ogni dominio e ruotarla automaticamente. In questo modo si evita che una chiave compromessa possa essere utilizzata a lungo termine.
Un'ulteriore protezione contro lo spam è fornita dall'integrazione di servizi RBL (real-time blackhole lists) o DNSBL (DNS-based blackhole list). Con le voci corrispondenti in main.cf è possibile bloccare le connessioni in entrata da reti di spam conosciute prima ancora che raggiungano il server di posta.
Opzioni e funzioni di impostazione estese
Postfix offre molte opzioni per la mappatura di scenari complessi. Con controlli_intestazione e controlli_corpo è possibile, ad esempio, filtrare le e-mail che contengono determinate stringhe di caratteri nell'intestazione o nel corpo. Questo può aiutare a filtrare lo spam o gli allegati pericolosi prima che raggiungano il sistema. Per le aziende che devono proteggere i dati sensibili, può essere utile bloccare semplicemente alcuni tipi di file, come i file .exe o gli script.
Altre caratteristiche interessanti sono:
- Servizi di policy di PostfixQui è possibile utilizzare i cosiddetti demoni di policy per decidere in tempo reale se un'e-mail deve essere accettata, rifiutata o inviata in un ciclo di greylisting.
- Limitazione delle connessioni simultaneeIn caso di picchi di carico elevati, può essere opportuno consentire solo un certo numero di connessioni SMTP simultanee per IP, al fine di prevenire attacchi di tipo DDOS.
- Riscrittura dell'indirizzoOltre alle mappe canoniche del mittente, esistono anche opzioni per le riscritture del destinatario (recipient_canonical_maps) per nascondere lo schema di denominazione interno ai mittenti esterni.
Soprattutto nelle reti di grandi dimensioni o con gli hoster che offrono hosting web condiviso, capita spesso che molte applicazioni diverse inviino e-mail. Una rigorosa separazione degli indirizzi del mittente e un motore di mappatura chiaramente strutturato sono essenziali per garantire che ogni applicazione utilizzi il dominio del mittente corretto. Le configurazioni errate in quest'area portano spesso a errori DMARC o a consegne rifiutate.
Estendere Postfix con Dovecot, ClamAV e altri.
Per la posta in arrivo, è necessario anche un server IMAP/POP3 come Dovecot. Filtri antivirus e antispam come Amavis, SpamAssassin o ClamAV completano la configurazione. Insieme formano un server di posta completo che si può gestire anche tramite accesso alla webmail. Roundcube offre una semplice interfaccia nel browser.
Questi componenti trasformano il vostro server Postfix in un centro di posta completo con un controllo degli accessi a 360 gradi, ideale per le aziende e i liberi professionisti. Con Amavis, ad esempio, in combinazione con SpamAssassin e ClamAV, è possibile determinare il livello di spam di una e-mail e rifiutare i messaggi infetti da virus. È consigliabile un'interfaccia web per l'elaborazione della quarantena, in modo che gli amministratori possano rilasciare rapidamente le e-mail classificate in modo errato ("falsi positivi"). In questo modo è anche molto più facile monitorare i log e le statistiche sullo spam.
Confronto diretto tra i fornitori di hosting per Postfix
Non volete gestire il vostro server? Alcuni provider offrono un accesso root completo con integrazione ottimizzata di Postfix. Il confronto:
| Fornitore | Prestazioni | Prezzo | Sicurezza | Raccomandazione |
|---|---|---|---|---|
| webhoster.de | Molto buono | Favorevole | Alto | 1 (vincitore del test) |
| Fornitore B | Buono | Medio | Alto | 2 |
| Fornitore C | Soddisfacente | Favorevole | Medio | 3 |
A seconda del numero di e-mail che si prevede di ricevere al giorno e delle funzioni che si desidera amministrare autonomamente, la scelta dell'hoster adatto varierà. Alcuni provider consentono sistemi automatici di difesa DDoS, particolarmente utili in caso di tentativi di spam. Anche l'assistenza svolge un ruolo importante: in caso di errore, dovreste ricevere aiuto rapidamente per ridurre al minimo i tempi di inattività.
Sintesi - La mia valutazione finale
Con il giusto Impostazioni di Postfix è possibile ottenere una configurazione sicura e potente. Tutto ciò che dovete fare è strutturare i file di configurazione in modo chiaro, prestare attenzione all'invio intelligente dell'host e utilizzare correttamente la crittografia. È facile iniziare, purché ci si attenga ai parametri consigliati e si proceda passo dopo passo.
Strumenti come mailq, postmap e i log di Postfix consentono di tenere traccia dei problemi in ogni momento. Fate un uso sensato delle estensioni esistenti per garantire che l'invio di posta elettronica non sia un punto debole, ma una base stabile per la vostra comunicazione. Con un po' di esperienza e una manutenzione costante, vi renderete conto della solidità della vostra configurazione e di quanto il vostro server di posta possa essere integrato in un'infrastruttura IT professionale. Se si utilizzano anche moduli come Dovecot, SpamAssassin e ClamAV, è possibile soddisfare anche i requisiti più esigenti in un ambiente aziendale e ottenere il pieno controllo del flusso di posta della propria azienda.
