Didžiausio saugumo "Postfix" konfigūracija: išsamus vadovas

Pagrindiniai saugumo nustatymai

Prieš pradėdami nagrinėti išplėstines saugumo priemones, turėtume įsitikinti, kad pagrindiniai nustatymai yra teisingi. Tai apima prieigos prie "Postfix" serverio apribojimą. Faile /etc/postfix/main.cf turėtumėte pridėti arba pakoreguoti šias eilutes:

inet_interfaces = loopback-only
mynetworks = 127.0.0.0.0/8 [::1]/128

Šie nustatymai apriboja prieigą prie vietinio kompiuterio ir apsaugo serverį nuo piktnaudžiavimo juo kaip atviru retransliatoriumi. Atvirąja retransliacija gali naudotis nepageidaujamų laiškų siuntėjai, kurie gali smarkiai pakenkti jūsų serverio reputacijai. Todėl labai svarbu atlikti šią pagrindinę apsaugą.

Suaktyvinti TLS šifravimą

TLS (Transport Layer Security) naudojimas yra būtinas siekiant užtikrinti el. pašto konfidencialumą. Įrašykite šias eilutes į main.cf-failas:

smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level = may
smtp_tls_security_level = may

Šiais nustatymais įjungiamas TLS įeinantiems ir išeinantiems ryšiams. Įsitikinkite, kad naudojate galiojančius SSL sertifikatus, geriausiai iš patikimos sertifikavimo įstaigos (CA). Tinkamai įdiegtas TLS apsaugo jūsų el. laiškus nuo perėmimo ir manipuliavimo perdavimo metu. Daugiau informacijos apie TLS konfigūravimą rasite oficialioje [Postfix dokumentacijoje](https://www.postfix.org/TLS_README.html).

SASL autentifikavimo nustatymas

Paprastas autentifikavimo ir saugumo sluoksnis (SASL) suteikia papildomą saugumo lygį. Pridėkite šias eilutes prie main.cf pridėta:

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

Šioje konfigūracijoje daroma prielaida, kad naudojate "Dovecot" kaip SASL teikėją. Jei naudojate kitą teikėją, atitinkamai pakoreguokite nustatymus. SASL autentifikavimas neleidžia neįgaliotiems naudotojams siųsti el. laiškų per jūsų serverį, o tai gerokai padidina saugumą.

Apsauga nuo paslaugų atsisakymo atakų

Norėdami apsaugoti serverį nuo perkrovos, galite nustatyti prisijungimo ribas. Šias eilutes pridėkite prie main.cf pridėta:

smtpd_client_connection_rate_limit = 50
smtpd_client_message_rate_limit = 100
anvil_rate_time_unit = 60s

Šie nustatymai riboja prisijungimų ir pranešimų, kuriuos klientas gali siųsti per minutę, skaičių. Apriboję šį skaičių, galite išvengti, kad serveris nebūtų perkrautas masinėmis užklausomis ar nepageidaujamais el. laiškais. Tai svarbus žingsnis siekiant užtikrinti pašto serverio prieinamumą.

Įgyvendinti HELO/EHLO apribojimus

Daugelis nepageidaujamų laiškų siuntėjų naudoja negaliojančius arba suklastotus HELO/EHLO prievadų vardus. Tokius ryšius galite blokuoti naudodami šiuos nustatymus:

smtpd_helo_required = yes
smtpd_helo_restrictions =
 permit_mynetworks,
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname

Šiose taisyklėse reikalaujama, kad būtų nurodytas galiojantis HELO/EHLO prieglobos vardas, ir atmetamos jungtys su negaliojančiais arba ne visiškai kvalifikuotais domenų vardais. Dėl to nepageidaujamų laiškų siuntėjams sunkiau siųsti suklastotus el. laiškus, nes jie turi pateikti teisingą HELO / EHLO informaciją.

Įvesti siųstuvų apribojimus

Norėdami užkirsti kelią netinkamam serverio naudojimui, galite nustatyti siuntėjams taikomus apribojimus:

smtpd_sender_restrictions =
 permit_mynetworks,
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining

Šiomis taisyklėmis atmetami el. laiškai iš nevisiškai kvalifikuotų siuntėjo adresų arba nežinomų siuntėjo domenų. Taip sumažinama tikimybė, kad jūsų serveris bus naudojamas nepageidaujamiems laiškams ar sukčiavimui, ir kartu pagerinama bendra gaunamų el. laiškų kokybė.

Gavėjo apribojimų konfigūravimas

Panašiai kaip ir siuntėjo apribojimus, taip pat galite apibrėžti gavėjų taisykles:

smtpd_recipient_restrictions =
 permit_mynetworks,
 reject_unauth_destination,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain

Šie nustatymai apsaugo jūsų serverį nuo piktnaudžiavimo juo kaip neleistinų adresatų perdavėju ir atmeta el. laiškus, siunčiamus negaliojančiais gavėjų adresais. Taip dar labiau padidinamas jūsų serverio saugumas ir kartu užtikrinamas el. pašto ryšių vientisumas.

Įgyvendinti greylisting

"Greylisting" yra veiksmingas nepageidaujamų laiškų mažinimo būdas. Pirmiausia įdiekite paketą Postgrey:

sudo apt install postgrey

Tada į eilutę pridėkite šią eilutę main.cf pridėta:

smtpd_recipient_restrictions =
 ... (esami nustatymai)
 check_policy_service unix:private/postgrey

Ši konfigūracija pirmiausia persiunčia gaunamus el. laiškus į "Postgrey" paslaugą, kuri generuoja laikinus nežinomų siuntėjų atmetimus. El. pašto serveriai, kurie siunčia teisėtus el. laiškus, po uždelsimo iš naujo bando juos pristatyti, taip veiksmingai pašalindami nepageidaujamų laiškų siuntėjus, kurie dažnai bando siųsti tik vieną kartą.

Suaktyvinti SPF tikrinimą

Siuntėjo politikos sistema (Sender Policy Framework, SPF) padeda išvengti el. pašto klastojimo. Pirmiausia įdiekite reikiamą paketą:

sudo apt install postfix-policyd-spf-python

Tada pridėkite šias eilutes prie main.cf pridėta:

policyd-spf_time_limit = 3600s
smtpd_recipient_restrictions =
 ... (esami nustatymai)
 check_policy_service unix:private/policyd-spf

Ši konfigūracija įjungia SPF tikrinimą įeinantiems el. laiškams. SPF tikrina, ar el. laiškas išsiųstas iš nurodyto domeno autorizuoto serverio, o tai padeda išvengti klastojimo ir padidinti el. pašto komunikacijos patikimumą.

Įgyvendinti DKIM pasirašymą

"DomainKeys Identified Mail" (DKIM) prideda skaitmeninį parašą prie siunčiamų el. laiškų. Pirmiausia įdiekite "OpenDKIM":

sudo apt install opendkim opendkim-tools

Tada sukonfigūruokite "OpenDKIM" ir pridėkite šias eilutes prie main.cf pridėta:

milter_protocol = 2
milter_default_action = accept
smtpd_milters = unix:/var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock

Šiais nustatymais įjungiamas DKIM pasirašymas išeinantiems el. laiškams. DKIM padidina saugumą, nes užtikrina, kad el. laiškai nebuvo nepastebimai pakeisti, ir sustiprina pasitikėjimą pranešimų autentiškumu.

DMARC gairių nustatymas

Domeninis pranešimų autentiškumo patvirtinimas, ataskaitų teikimas ir atitiktis (DMARC) grindžiamas SPF ir DKIM. Pridėkite DMARC DNS įrašą savo domenui ir įdiekite "OpenDMARC":

sudo apt install opendmarc

Sukonfigūruokite OpenDMARC ir pridėkite šią eilutę į main.cf pridėta:

smtpd_milters = ... (esami nustatymai), inet:localhost:8893

Ši konfigūracija įgalina DMARC tikrinimą įeinantiems el. laiškams. DMARC leidžia domenų savininkams nustatyti politiką, kaip gaunantieji serveriai turėtų elgtis su nepavykusiais SPF ar DKIM patikrinimais, ir pateikia išsamias el. pašto autentiškumo patvirtinimo ataskaitas.

Reguliarus atnaujinimas ir stebėjimas

Saugumas yra nuolatinis procesas. Įsitikinkite, kad reguliariai atnaujinate "Postfix" sistemą:

sudo apt update
sudo apt atnaujinimas

Taip pat stebėkite "Postfix" žurnalus, ar juose nėra įtartinos veiklos:

tail -f /var/log/mail.log

Reguliariais atnaujinimais pašalinamos žinomos saugumo spragos ir pagerinamas pašto serverio stabilumas. Nuolatinė žurnalų stebėsena leidžia anksti atpažinti neįprastus veiksmus ir greitai į juos reaguoti.

Papildomos saugos priemonės

Be pagrindinių ir išplėstinių saugumo priemonių, galite imtis papildomų veiksmų, kad dar labiau padidintumėte "Postfix" serverio saugumą:

Ugniasienės konfigūracija

Įsitikinkite, kad užkarda atidarė tik būtinus pašto serverio prievadus. Paprastai tai būna 25 (SMTP), 587 (pateikimo) ir 993 (IMAP per SSL) prievadai. Naudokite priemones, pvz. ufw arba iptableskontroliuoti prieigą prie šių prievadų ir blokuoti nepageidaujamus ryšius.

Įsilaužimo aptikimo sistemos (IDS)

Įdiegti įsibrovimo aptikimo sistemą, pvz. Fail2Banaptikti pasikartojančius nesėkmingus bandymus prisijungti ir automatiškai blokuoti įtartiną elgesį rodančius IP adresus. Tai sumažina grubios jėgos atakų prieš jūsų pašto serverį riziką.

Atsarginės kopijos ir atkūrimas

Reguliariai darykite atsargines konfigūracijos failų ir svarbių duomenų kopijas. Įvykus saugumo incidentui, galėsite greitai atkurti duomenis ir sumažinti paslaugų teikimo sutrikimus. Saugokite atsargines kopijas saugioje vietoje ir reguliariai tikrinkite atsarginių kopijų duomenų vientisumą.

Naudotojų ir teisių valdymas

Atidžiai tvarkykite naudotojų paskyras ir suteikite tik reikiamas teises. Naudokite stiprius slaptažodžius ir apsvarstykite galimybę įdiegti daugiafaktorinį autentifikavimą (MFA), kad dar labiau apsaugotumėte prieigą prie pašto serverio.

Geriausia "Postfix" priežiūros praktika

Nuolatinė "Postfix" serverio priežiūra yra labai svarbi siekiant užtikrinti saugumą ir našumą. Pateikiame keletą geriausios praktikos pavyzdžių:

• Reguliariai tikrinkite konfigūraciją: Reguliariai tikrinkite savo main.cf ir kitus konfigūracijos failus, kad užtikrintumėte, jog visos saugumo priemonės įgyvendintos teisingai.


• Žurnalo analizė: Naudokite įrankius, kurie automatiškai analizuoja pašto žurnalus, kad greitai nustatytumėte anomalijas ir galimus saugumo incidentus.


• Programinės įrangos atnaujinimai: Reguliariai atnaujinkite ne tik "Postfix", bet ir visus priklausomus komponentus, tokius kaip "Dovecot", "OpenDKIM" ir "OpenDMARC".


• Stebėsena ir įspėjimai: Įdiekite stebėjimo sistemą, kuri praneštų apie neįprastą veiklą ar klaidos pranešimus.

Išvenkite dažniausiai pasitaikančių "Postfix" konfigūracijos klaidų

Konfigūruojant "Postfix", kad būtų užtikrintas maksimalus saugumas, reikėtų vengti dažniausiai daromų klaidų:

• Atvira relė: Įsitikinkite, kad jūsų serveris nėra sukonfigūruotas kaip atviras retransliatorius, nustatydami inet_interfaces ir mynetworks-nustatymus teisingai.


• Netinkami TLS sertifikatai: Norėdami veiksmingai naudoti TLS šifravimą, visada naudokite galiojančius ir atnaujintus SSL sertifikatus.


• Trūksta autentiškumo patvirtinimo: Įjunkite SASL autentifikavimą, kad išvengtumėte piktnaudžiavimo serveriu.


• Nepakankamos tarifų ribos: Nustatykite tinkamus prisijungimo apribojimus, kad išvengtumėte atsisakymo aptarnauti atakų.


• Trūksta SPF/DKIM/DMARC: Įdiekite išsamius el. pašto autentiškumo patvirtinimo metodus, kad užtikrintumėte el. laiškų vientisumą ir autentiškumą.

Santrauka

Kad "Postfix" būtų maksimaliai apsaugotas, reikia kruopščiai planuoti ir reguliariai prižiūrėti. Įgyvendindami šiame straipsnyje aprašytas priemones, galite gerokai padidinti savo el. pašto serverio saugumą. Atminkite, kad saugumas yra nuolatinis procesas. Nuolat sekite naujienas apie naujas grėsmes ir geriausią praktiką, kad "Postfix" serveris būtų apsaugotas. Pasinaudokite turimais ištekliais ir bendruomenėmis, kad galėtumėte mokytis ir neatsilikti nuo naujausių technologijų.

Daugiau informacijos ir išsamių instrukcijų rasite oficialioje [Postfix dokumentacijoje](https://www.postfix.org/documentation.html) ir kituose patikimuose el. pašto saugumo šaltiniuose.