Basis beveiligingsinstellingen
Voordat we naar de geavanceerde beveiligingsmaatregelen kijken, moeten we ervoor zorgen dat de basisinstellingen correct zijn. Dit omvat het beperken van de toegang tot de Postfix server. In het bestand /etc/postfix/main.cf moet je de volgende regels toevoegen of aanpassen:
inet_interfaces = alleen loopback mijnnetwerken = 127.0.0.0/8 [::1]/128
Deze instellingen beperken de toegang tot de lokale host en voorkomen dat de server wordt misbruikt als open relay. Een open relay kan door spammers worden gebruikt om ongewenste e-mails te versturen, wat de reputatie van je server ernstig kan schaden. Het is daarom cruciaal om deze basisbeveiliging uit te voeren.
TLS-codering activeren
Het gebruik van TLS (Transport Layer Security) is essentieel om de vertrouwelijkheid van e-mailcommunicatie te garanderen. Voeg de volgende regels toe aan de main.cf-bestand:
smtpd_tls_cert_bestand = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_security_level = may smtp_tls_security_level = may
Deze instellingen activeren TLS voor inkomende en uitgaande verbindingen. Zorg ervoor dat u geldige SSL-certificaten gebruikt, idealiter van een vertrouwde certificeringsinstantie (CA). Een correct geïmplementeerde TLS beschermt uw e-mails tegen onderschepping en manipulatie tijdens de overdracht. Meer informatie over de configuratie van TLS is te vinden in de officiële [Postfix documentatie](https://www.postfix.org/TLS_README.html).
SASL-authenticatie instellen
De Simple Authentication and Security Layer (SASL) biedt een extra beveiligingslaag. Voeg deze regels toe aan de main.cf toegevoegd:
smtpd_sasl_type = dovecot smtpd_sasl_pad = privé/auth smtpd_sasl_auth_inschakelen = ja smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname
Deze configuratie gaat ervan uit dat je Dovecot gebruikt als SASL provider. Pas de instellingen aan als je een andere provider gebruikt. SASL-authenticatie voorkomt dat onbevoegde gebruikers e-mails kunnen verzenden via je server, wat de beveiliging aanzienlijk verhoogt.
Bescherming tegen denial-of-service-aanvallen
Om je server te beschermen tegen overbelasting, kun je verbindingslimieten instellen. Voeg deze regels toe aan de main.cf toegevoegd:
smtpd_client_verbindingssnelheid_limiet = 50 smtpd_client_bericht_snelheid_limiet = 100 anvil_rate_time_unit = 60s
Deze instellingen beperken het aantal verbindingen en berichten dat een client per minuut kan versturen. Door dit te beperken kun je voorkomen dat je server overbelast raakt door massaverzoeken of spam e-mails. Dit is een belangrijke stap om de beschikbaarheid van je mailserver te garanderen.
HELO/EHLO-beperkingen implementeren
Veel spamverzenders gebruiken ongeldige of vervalste HELO/EHLO hostnamen. Je kunt dergelijke verbindingen blokkeren met de volgende instellingen:
smtpd_helo_vereist = ja smtpd_helo_beperkingen = toestaan_mynetwerken, reject_invalid_helo_hostname, verwerp_niet_fqdn_helo_hostnaam
Deze regels vereisen een geldige HELO/EHLO hostnaam en weigeren verbindingen met ongeldige of onvolledig gekwalificeerde domeinnamen. Dit maakt het moeilijker voor spammers om valse e-mails te versturen, omdat ze correcte HELO/EHLO-informatie moeten opgeven.
Zenderbeperkingen invoeren
Om misbruik van je server te voorkomen, kun je beperkingen instellen voor afzenders:
smtpd_sender_restricties = toestaan_mynetwerken, verwerp_niet_fqdn_verzender, afwijzen_onbekende_zender_domein, afwijzen_unauth_pipelining
Deze regels weigeren e-mails van onvolledig gekwalificeerde afzenderadressen of onbekende afstuurdomeinen. Dit verkleint de kans dat je server wordt gebruikt voor spam of phishing en verbetert tegelijkertijd de algehele kwaliteit van de ontvangen e-mails.
Ontvangerbeperkingen configureren
Net als bij de afzenderbeperkingen, kun je ook regels definiëren voor ontvangers:
smtpd_ontvanger_beperkingen = toestaan_mynetwerken, reject_unauth_destination, reject_non_fqdn_recipient, weiger_onbekend_ontvanger_domein
Deze instellingen voorkomen dat je server wordt misbruikt als relay voor ongeautoriseerde bestemmingen en weigeren e-mails naar ongeldige ontvangstadressen. Dit verhoogt de veiligheid van je server en garandeert tegelijkertijd de integriteit van e-mailcommunicatie.
Greylisting implementeren
Greylisting is een effectieve methode om spam te verminderen. Installeer eerst het Postgrey-pakket:
sudo apt install postgrey
Voeg dan de volgende regel toe aan de main.cf toegevoegd:
smtpd_ontvanger_beperkingen = ... (bestaande instellingen) check_policy_service unix:private/postgrey
Deze configuratie stuurt inkomende e-mails eerst door naar de Postgrey service, die tijdelijke afwijzingen genereert voor onbekende afzenders. E-mailservers die legitieme e-mails verzenden, proberen de aflevering na een vertraging opnieuw, waardoor spamverzenders die vaak maar één keer proberen te verzenden, effectief worden geëlimineerd.
SPF-controle activeren
Het Sender Policy Framework (SPF) helpt e-mail spoofing te voorkomen. Installeer eerst het vereiste pakket:
sudo apt installeer postfix-policyd-spf-python
Voeg dan deze regels toe aan de main.cf toegevoegd:
policyd-spf_tijdlimiet = 3600s smtpd_ontvanger_beperkingen = ... (bestaande instellingen) controleer_beleid_dienst unix:privé/policyd-spf
Deze configuratie activeert de SPF-controle voor inkomende e-mails. SPF controleert of de e-mail is verzonden vanaf een geautoriseerde server voor het opgegeven domein, wat spoofing helpt voorkomen en de geloofwaardigheid van je e-mailcommunicatie vergroot.
DKIM ondertekening implementeren
DomainKeys Identified Mail (DKIM) voegt een digitale handtekening toe aan uitgaande e-mails. Installeer eerst OpenDKIM:
sudo apt install opendkim opendkim-tools
Configureer dan OpenDKIM en voeg deze regels toe aan de main.cf toegevoegd:
milter_protocol = 2 milter_standaard_actie = accepteren smtpd_milters = unix:/var/run/opendkim/opendkim.sock non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
Deze instellingen activeren DKIM-ondertekening voor uitgaande e-mails. DKIM verhoogt de veiligheid door ervoor te zorgen dat e-mails niet ongemerkt zijn gewijzigd en versterkt het vertrouwen in de authenticiteit van berichten.
DMARC-richtlijnen instellen
DMARC (Domain-based Message Authentication, Reporting and Conformance) is gebaseerd op SPF en DKIM. Voeg een DMARC DNS entry toe voor je domein en installeer OpenDMARC:
sudo apt opendmarc installeren
Configureer OpenDMARC en voeg deze regel toe aan de main.cf toegevoegd:
smtpd_milters = ... (bestaande instellingen), inet:localhost:8893
Met deze configuratie worden DMARC-controles voor inkomende e-mails ingeschakeld. DMARC stelt domeineigenaren in staat om beleidsregels in te stellen over hoe ontvangende servers moeten omgaan met mislukte SPF- of DKIM-controles en biedt gedetailleerde rapporten over e-mailverificatie.
Regelmatige updates en monitoring
Beveiliging is een continu proces. Zorg ervoor dat je je Postfix systeem regelmatig bijwerkt:
sudo apt update sudo apt upgrade
Controleer ook de Postfix logs op verdachte activiteiten:
staart -f /var/log/mail.log
Regelmatige updates dichten bekende beveiligingslekken en verbeteren de stabiliteit van uw mailserver. Door de logs voortdurend te controleren, kunt u ongebruikelijke activiteiten in een vroeg stadium herkennen en er snel op reageren.
Extra veiligheidsmaatregelen
Naast de basis- en geavanceerde beveiligingsmaatregelen zijn er extra stappen die je kunt nemen om de beveiliging van je Postfix server verder te verhogen:
Firewall configureren
Zorg ervoor dat je firewall alleen de benodigde poorten voor de mailserver heeft geopend. Meestal zijn dit poort 25 (SMTP), poort 587 (indiening) en poort 993 (IMAP via SSL). Gebruik tools zoals ufw of iptablesom de toegang tot deze poorten te controleren en ongewenste verbindingen te blokkeren.
Inbraakdetectiesystemen (IDS)
Implementeer een inbraakdetectiesysteem zoals Fail2Banom herhaalde mislukte aanmeldpogingen te detecteren en automatisch IP-adressen te blokkeren die verdacht gedrag vertonen. Dit vermindert het risico op brute force-aanvallen op uw mailserver.
Back-ups en herstel
Maak regelmatig back-ups van uw configuratiebestanden en belangrijke gegevens. In het geval van een beveiligingsincident kunt u snel herstellen en onderbrekingen van de service tot een minimum beperken. Bewaar back-ups op een veilige locatie en controleer regelmatig de integriteit van de back-upgegevens.
Gebruikers- en rechtenbeheer
Beheer gebruikersaccounts zorgvuldig en wijs alleen de benodigde rechten toe. Gebruik sterke wachtwoorden en overweeg de implementatie van multi-factor authenticatie (MFA) om de toegang tot de mailserver verder te beveiligen.
Beste praktijken voor het onderhoud van Postfix
Voortdurend onderhoud van je Postfix server is cruciaal voor het behouden van veiligheid en prestaties. Hier zijn enkele best practices:
- Controleer de configuratie regelmatig: Controleer regelmatig uw
main.cfen andere configuratiebestanden om er zeker van te zijn dat alle beveiligingsmaatregelen correct zijn geïmplementeerd. - Logboekanalyse: Gebruik hulpprogramma's voor automatische analyse van uw maillogs om snel afwijkingen en potentiële beveiligingsincidenten te identificeren.
- Software-updates: Update niet alleen Postfix, maar ook alle afhankelijke componenten zoals Dovecot, OpenDKIM en OpenDMARC regelmatig.
- Bewaking en waarschuwingen: Implementeer een monitoringsysteem dat je op de hoogte stelt van ongewone activiteiten of foutmeldingen.
Veelvoorkomende fouten in de Postfix-configuratie vermijden
Bij het configureren van Postfix om de beveiliging te maximaliseren, zijn er veelvoorkomende fouten die vermeden moeten worden:
- Open relais: Zorg ervoor dat uw server niet is geconfigureerd als een open relay door de instelling
inet_interfacesenmynetworks-instellingen correct. - Ongeldige TLS-certificaten: Gebruik altijd geldige en up-to-date SSL-certificaten om TLS-encryptie effectief te gebruiken.
- Ontbrekende verificatie: Activeer SASL-authenticatie om misbruik van je server te voorkomen.
- Onvoldoende tariefgrenzen: Stel de juiste verbindingslimieten in om denial-of-service-aanvallen te voorkomen.
- SPF/DKIM/DMARC ontbreekt: Implementeer uitgebreide e-mailverificatiemethoden om de integriteit en authenticiteit van je e-mails te garanderen.
Samenvatting
Postfix configureren voor maximale beveiliging vereist zorgvuldige planning en regelmatig onderhoud. Door de in dit artikel beschreven maatregelen te implementeren, kunt u de beveiliging van uw e-mailserver aanzienlijk verbeteren. Onthoud dat beveiliging een continu proces is. Blijf op de hoogte van nieuwe bedreigingen en best practices om je Postfix-server beschermd te houden. Maak gebruik van de beschikbare bronnen en gemeenschappen om jezelf bij te scholen en op de hoogte te blijven van de laatste technologische ontwikkelingen.
Bezoek voor meer informatie en gedetailleerde instructies de officiële [Postfix documentatie](https://www.postfix.org/documentation.html) en andere betrouwbare bronnen op het gebied van e-mailbeveiliging.
