Drošības pamatnosacījumi
Pirms aplūkojam uzlabotos drošības pasākumus, jāpārliecinās, ka pamatiestatījumi ir pareizi. Tas ietver arī piekļuves ierobežošanu Postfix serverim. Failā /etc/postfix/main.cf jāpievieno vai jāpielāgo šādas rindas:
inet_interfaces = loopback-only mynetworks = 127.0.0.0.0/8 [::1]/128
Šie iestatījumi ierobežo piekļuvi vietējam resursdatoram un novērš servera ļaunprātīgu izmantošanu kā atvērtam retranslatoram. Atvērtu releju var izmantot surogātpasta sūtītāji, lai sūtītu nevēlamus e-pastus, kas var nopietni kaitēt jūsu servera reputācijai. Tāpēc ir ļoti svarīgi veikt šo pamataizsardzību.
TLS šifrēšanas aktivizēšana
Lai nodrošinātu e-pasta saziņas konfidencialitāti, ir svarīgi izmantot TLS (Transport Layer Security). Pievienojiet šādas rindas main.cf-fails:
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_security_level = may smtp_tls_security_level = may
Šie iestatījumi aktivizē TLS ienākošajiem un izejošajiem savienojumiem. Pārliecinieties, ka izmantojat derīgus SSL sertifikātus, ideālā gadījumā no uzticamas sertifikācijas iestādes (CA). Pareizi īstenots TLS aizsargā e-pasta ziņojumus no pārtveršanas un manipulācijām pārraides laikā. Papildu informāciju par TLS konfigurāciju var atrast oficiālajā [Postfix dokumentācijā](https://www.postfix.org/TLS_README.html).
SASL autentifikācijas iestatīšana
Vienkāršā autentifikācijas un drošības slānis (SASL) nodrošina papildu drošības līmeni. Pievienojiet šīs rindiņas main.cf pievienots:
smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname
Šajā konfigurācijā tiek pieņemts, ka kā SASL nodrošinātājs tiek izmantots Dovecot. Ja izmantojat citu pakalpojumu sniedzēju, attiecīgi pielāgojiet iestatījumus. SASL autentifikācija neļauj neautorizētiem lietotājiem sūtīt e-pastus, izmantojot jūsu serveri, un tas ievērojami palielina drošību.
Aizsardzība pret pakalpojumu atteikuma uzbrukumiem
Lai pasargātu serveri no pārslodzes, varat iestatīt savienojumu ierobežojumus. Pievienojiet šīs rindas main.cf pievienots:
smtpd_client_connection_rate_limit = 50 smtpd_client_message_rate_limit = 100 anvil_rate_time_unit = 60s
Šie iestatījumi ierobežo savienojumu un ziņojumu skaitu, ko klients var nosūtīt minūtē. To ierobežojot, varat novērst servera pārslodzi ar masveida pieprasījumiem vai surogātpasta ziņojumiem. Tas ir svarīgs solis, lai nodrošinātu pasta servera pieejamību.
HELO/EHLO ierobežojumu ieviešana
Daudzi surogātpasta sūtītāji izmanto nederīgus vai viltotus HELO/EHLO saimniekvietņu nosaukumus. Šādus savienojumus var bloķēt, izmantojot šādus iestatījumus:
smtpd_helo_required = jā smtpd_helo_restrictions = permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
Šie noteikumi pieprasa derīgu HELO/EHLO resursvietas nosaukumu un noraida savienojumus ar nederīgiem vai nepilnīgi kvalificētiem domēna vārdiem. Tas apgrūtina surogātpasta sūtītāju viltus e-pasta vēstules, jo viņiem ir jāsniedz pareiza HELO/EHLO informācija.
raidītāju ierobežojumu ieviešana
Lai novērstu servera ļaunprātīgu izmantošanu, varat iestatīt ierobežojumus sūtītājiem:
smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining
Šie noteikumi noraida e-pasta ziņojumus no nepilnīgi kvalificētām sūtītāja adresēm vai nezināmiem sūtītāja domēniem. Tas samazina iespējamību, ka jūsu serveris tiks izmantots surogātpasta vai pikšķerēšanas nolūkos, un vienlaikus uzlabo saņemto e-pasta vēstuļu vispārējo kvalitāti.
Saņēmēja ierobežojumu konfigurēšana
Līdzīgi kā sūtītāja ierobežojumiem, varat definēt noteikumus arī saņēmējiem:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient, reject_unknown_recipient_domain
Šie iestatījumi novērš iespēju ļaunprātīgi izmantot jūsu serveri kā nesankcionētu galamērķu releju un noraida e-pasta ziņojumus uz nederīgām saņēmēju adresēm. Tas vēl vairāk palielina jūsu servera drošību un vienlaikus nodrošina e-pasta saziņas integritāti.
Īstenot greylisting
Sarkanā saraksta izveide ir efektīva metode surogātpasta samazināšanai. Vispirms instalējiet pakotni Postgrey:
sudo apt instalēt postgrey
Pēc tam pievienojiet šādu rindu main.cf pievienots:
smtpd_recipient_restrictions = ... (esošie iestatījumi) check_policy_service unix:private/postgrey
Šī konfigurācija vispirms pārsūta ienākošos e-pasta ziņojumus uz pakalpojumu Postgrey, kas ģenerē pagaidu noraidījumus nezināmiem sūtītājiem. E-pasta serveri, kas sūta likumīgus e-pasta ziņojumus, pēc kavēšanās atkārto piegādi, tādējādi efektīvi novēršot surogātpasta sūtītājus, kuri bieži vien mēģina sūtīt tikai vienu reizi.
SPF pārbaudes aktivizēšana
Sūtītāja politikas sistēma (SPF) palīdz novērst e-pasta failu viltošanu. Vispirms instalējiet nepieciešamo paketi:
sudo apt instalēt postfix-policyd-spf-python
Pēc tam pievienojiet šīs rindas main.cf pievienots:
policyd-spf_time_limit = 3600s smtpd_recipient_restrictions = ... (esošie iestatījumi) check_policy_service unix:private/policyd-spf
Šī konfigurācija aktivizē SPF pārbaudi ienākošajiem e-pasta ziņojumiem. SPF pārbauda, vai e-pasta vēstule ir nosūtīta no norādītā domēna autorizēta servera, kas palīdz novērst viltojumus un palielina jūsu e-pasta saziņas uzticamību.
DKIM parakstīšanas īstenošana
DomainKeys Identified Mail (DKIM) izejošajiem e-pasta ziņojumiem pievieno digitālo parakstu. Vispirms instalējiet OpenDKIM:
sudo apt instalēt opendkim opendkim-tools
Pēc tam konfigurējiet OpenDKIM un pievienojiet šīs rindas uz main.cf pievienots:
milter_protocol = 2 milter_default_action = accept smtpd_milters = unix:/var/run/opendkim/opendkim.sock non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
Šie iestatījumi aktivizē DKIM parakstīšanu izejošajiem e-pasta ziņojumiem. DKIM palielina drošību, nodrošinot, ka e-pasta vēstules nav nemanāmi mainītas, un stiprina uzticību ziņojumu autentiskumam.
DMARC vadlīniju iestatīšana
Uz domēnu balstīta ziņojumu autentificēšana, ziņošana un atbilstība (DMARC) ir balstīta uz SPF un DKIM. Pievienojiet DMARC DNS ierakstu savam domēnam un instalējiet OpenDMARC:
sudo apt instalēt opendmarc
Konfigurējiet OpenDMARC un pievienojiet šo rindu pie main.cf pievienots:
smtpd_milters = ... (esošie iestatījumi), inet:localhost:8893
Šī konfigurācija ļauj veikt DMARC pārbaudi ienākošajiem e-pastiem. DMARC ļauj domēnu īpašniekiem noteikt politiku, kā saņemšanas serveriem rīkoties ar neveiksmīgām SPF vai DKIM pārbaudēm, un sniedz detalizētus pārskatus par e-pasta autentifikāciju.
Regulāra atjaunināšana un uzraudzība
Drošība ir nepārtraukts process. Pārliecinieties, ka regulāri atjaunināt savu Postfix sistēmu:
sudo apt update sudo apt atjaunināt
Uzmanieties arī Postfix žurnālos, lai atrastu aizdomīgas darbības:
tail -f /var/log/mail.log
Regulāri atjauninājumi novērš zināmās drošības nepilnības un uzlabo pasta servera stabilitāti. Nepārtraukta žurnālu uzraudzība ļauj jums savlaicīgi atpazīt neparastas darbības un ātri reaģēt uz tām.
Papildu drošības pasākumi
Papildus pamata un uzlabotajiem drošības pasākumiem varat veikt papildu darbības, lai vēl vairāk palielinātu Postfix servera drošību:
Ugunsmūra konfigurācija
Pārliecinieties, ka ugunsmūrī ir atvērti tikai nepieciešamie pasta servera porti. Parasti tie ir 25 ports (SMTP), 587 ports (iesniegšana) un 993 ports (IMAP caur SSL). Izmantojiet tādus rīkus kā ufw vai iptableslai kontrolētu piekļuvi šiem portiem un bloķētu nevēlamus savienojumus.
Ielaušanas atklāšanas sistēmas (IDS)
Ieviest ielaušanās atklāšanas sistēmu, piemēram. Fail2Banlai noteiktu atkārtotus neveiksmīgus pieteikšanās mēģinājumus un automātiski bloķētu IP adreses, kas uzrāda aizdomīgu uzvedību. Tas samazina brutāla spēka uzbrukumu risku jūsu pasta serverim.
Rezerves kopijas un atjaunošana
Regulāri veiciet konfigurācijas failu un svarīgu datu dublējumus. Drošības incidenta gadījumā varat ātri atjaunot un līdz minimumam samazināt pakalpojumu pārtraukumus. Uzglabājiet dublējumus drošā vietā un regulāri pārbaudiet dublējuma datu integritāti.
Lietotāju un tiesību pārvaldība
Rūpīgi pārvaldiet lietotāju kontus un piešķiriet tikai nepieciešamās tiesības. Izmantojiet spēcīgas paroles un apsveriet iespēju ieviest daudzfaktoru autentifikāciju (MFA), lai vēl vairāk nodrošinātu piekļuvi pasta serverim.
Postfix uzturēšanas labākā prakse
Pastāvīga Postfix servera uzturēšana ir ļoti svarīga, lai saglabātu drošību un veiktspēju. Šeit ir sniegta labākā prakse:
- Regulāri pārbaudiet konfigurāciju: Regulāri pārbaudiet savu
main.cfun citus konfigurācijas failus, lai nodrošinātu, ka visi drošības pasākumi ir pareizi īstenoti. - Log analīze: Izmantojiet rīkus automātiskai pasta žurnālu analīzei, lai ātri identificētu anomālijas un iespējamos drošības incidentus.
- Programmatūras atjauninājumi: Regulāri atjauniniet ne tikai Postfix, bet arī visas atkarīgās sastāvdaļas, piemēram, Dovecot, OpenDKIM un OpenDMARC.
- Uzraudzība un brīdinājumi: Ieviest uzraudzības sistēmu, kas informē par neparastām darbībām vai kļūdu ziņojumiem.
Izvairīšanās no biežāk sastopamām kļūdām Postfix konfigurācijā
Konfigurējot Postfix, lai maksimāli palielinātu drošību, bieži sastopamas kļūdas, no kurām vajadzētu izvairīties:
- Atvērt stafeti: Pārliecinieties, ka jūsu serveris nav konfigurēts kā atvērts retranslators, iestatot
inet_interfacesunmynetworks-iestatījumus pareizi. - Nederīgi TLS sertifikāti: Lai efektīvi izmantotu TLS šifrēšanu, vienmēr izmantojiet derīgus un atjauninātus SSL sertifikātus.
- Trūkst autentifikācijas: Aktivizējiet SASL autentifikāciju, lai novērstu servera ļaunprātīgu izmantošanu.
- Nepietiekami likmju ierobežojumi: Iestatiet atbilstošus savienojumu ierobežojumus, lai novērstu pakalpojuma atteikuma uzbrukumus.
- Trūkst SPF/DKIM/DMARC: Īsteno visaptverošas e-pasta autentifikācijas metodes, lai nodrošinātu e-pasta vēstuļu integritāti un autentiskumu.
Kopsavilkums
Postfix konfigurēšana maksimālai drošībai prasa rūpīgu plānošanu un regulāru uzturēšanu. Īstenojot šajā rakstā aprakstītos pasākumus, jūs varat ievērojami uzlabot sava e-pasta servera drošību. Atcerieties, ka drošība ir nepārtraukts process. Sekojiet līdzi jaunākajiem draudiem un labākajai praksei, lai saglabātu savu Postfix serveri aizsargātu. Izmantojiet pieejamos resursus un kopienas, lai izglītotos un paliktu tehnoloģiju jaunāko sasniegumu avangardā.
Sīkāku informāciju un detalizētus norādījumus skatīt oficiālajā [Postfix dokumentācijā](https://www.postfix.org/documentation.html) un citos uzticamos avotos e-pasta drošības jomā.
