Ga naar de inhoud 
De juiste Postfix-instellingen bepalen de veiligheid en functionaliteit van je mailserver. In dit artikel laat ik je alle belangrijke parameters zien, leg ik aanbevolen configuratiemethoden uit en geef ik je praktische voorbeelden voor productief gebruik.
Centrale punten
- main.cf en master.cf zijn de controlecentra van de Postfix-configuratie.
- A Smarthost maakt beveiligde mailverzending via externe providers mogelijk.
- STARTTLS zorgt voor versleutelde transmissies - handig en eenvoudig te configureren.
- Maildir als indeling verhoogt de betrouwbaarheid en compatibiliteit met IMAP-clients.
- Correct Adressen van afzenders en SPF/DKIM verhogen de afleveringspercentages.
Belangrijke configuratiebestanden en tools
Het bestand /etc/postfix/main.cf bepaalt bijna alle kernfuncties van Postfix. Daarnaast is de master.cf de werking van individuele diensten zoals smtpd of pickup. Voor meer flexibele aanpassingen kan het commandoregelhulpmiddel postconf - Perfect voor last-minute wijzigingen zonder redacteur.
Als je dieper wilt graven, vind je hier deze installatiegids voor Postfix Server een praktische stap-voor-stap handleiding. De combinatie van main.cf en postconf biedt structuur en flexibiliteit in één enkele oplossing.
Voor grotere mailservers is het ook de moeite waard om een versiebeheersysteem te gebruiken voor configuratiebestanden. Met systemen zoals Git kunt u wijzigingen snel bijhouden en ongedaan maken als dat nodig is. Dit bespaart niet alleen tijd, maar biedt ook zekerheid als het gaat om updates of nieuwe functies. Houd er rekening mee dat gevoelige gegevens zoals wachtwoorden niet in platte tekst worden opgeslagen in Git.
De basis begrijpen - essentiële parameters
Een goed werkende mailserver vereist een correcte basisstructuur. U moet ten minste de volgende opties correct instellen:
mijnhostnaambijv. mail.yourserver.commijn oorsprong: meestal identiek met$mydomeininet_interfaces = alleAccepteert verbindingen van alle interfaceshome_mailbox = Maildir/sorteert e-mails in het beveiligde Maildir-formaat
Deze instellingen bepalen hoe je server e-mails lokaal verstuurt, ontvangt en opslaat. Vaak wordt vergeten dat mynetworks moet juist worden ingesteld zodat alleen geautoriseerde IP-adressen relaisrechten hebben. Vooral in grotere omgevingen of met meerdere IPv4- en IPv6-adressen kan de precieze definitie van vertrouwde netwerken extreem belangrijk zijn.
Voor opstellingen met meerdere domeinen is het ook belangrijk om virtuele_alias_domeinen en virtuele_alias_maps te configureren. Hierdoor kunnen meerdere domeinen op dezelfde server worden uitgevoerd zonder dat je voor elk domein een aparte instantie nodig hebt. De hoofdconfiguratie blijft hetzelfde; je definieert alleen welke domeinen worden omgezet naar welke lokale systeemgebruikers of externe adressen.
Postfix configureren als slimme host
Als je wilt dat je server alleen e-mails verstuurt, kun je een verzendmodus gebruiken via een smart host. Hiervoor heb je nodig:
- Ingang
relayhost = [smtp.provider.de]:587in de main.cf - Gebruikersnaam en wachtwoord via
/etc/postfix/sasl_passwd - Het bestand beveiligen met
chmod 600en hashgeneratie metpostmap
Onthoud: u hebt TLS en verificatie nodig met smtp_sasl_auth_enable = ja. Dit beschermt je server tegen misbruik. Het is ook erg handig, smtp_sasl_security_options = noanonymous zodat de SMTP verbinding niet open staat voor anonieme authenticatiepogingen.
Als je de verzending van grote hoeveelheden e-mails controleert, kan het voordelig zijn om de logging dienovereenkomstig uit te breiden en tools zoals plogsumm te gebruiken. Dit geeft je dagelijkse rapporten over het verzendvolume, fouten en potentiële spampogingen die via je smart host lopen.
Beveilig afzenderadressen met afzender_canonical_maps
Mailproviders zoals Gmail weigeren e-mails zonder geldig afzenderadres. Over afzender_canonieke_kaarten zet je lokale systeemnamen zoals "ubuntu" om in echte afzenderadressen. Dit wordt gedaan via een mappingbestand, bijvoorbeeld zoals dit:
webgebruiker [email protected]Na elke wijziging altijd postmap en herlaad Postfix. Anders worden de nieuwe instellingen niet van kracht. In omgevingen met meerdere projecten of subdomeinen kan het nuttig zijn om deze canonieke kaarten zeer fijn te structureren. Bijvoorbeeld, "webuser1" kan automatisch worden toegewezen aan "[email protected]", terwijl "webuser2" verschijnt als "[email protected]". Dit houdt de interne structuur van je systeem schoon en voorkomt afwijzingen van grote providers.
SSL en TLS encryptie activeren
Gegevensbescherming en betrouwbaarheid zijn nauw verbonden met transportcodering. In de eenvoudigste variant activeer je TLS met :
smtp_tls_security_level = mayVoor verplichte codering gebruik je in plaats daarvan coderen. U definieert de bijbehorende certificaten in smtpd_tls_cert_bestand en smtpd_tls_sleutel_bestand. Je kunt meer te weten komen over hedging in het artikel Postfix configureren met Perfect Forward Secrecy.
Zorg ervoor dat uw certificaat betrouwbaar is en niet verlopen of zelfondertekend. Hoewel zelfondertekende certificaten voldoende zijn om te testen, worden ze vaak als onveilig geclassificeerd door providers of ontvangende mailservers. Met Laten we versleutelen ontvang je gratis en automatisch verlengbare certificaten, wat je veel handwerk bespaart en een solide basis biedt voor versleutelde verbindingen.
Je kunt ook de cipher suites aanpassen om zwakke encryptiemethoden te vermijden. Zelfs als dit in sommige gevallen compatibiliteitsproblemen oplevert met oudere mailservers, is het meestal de moeite waard om alleen moderne protocollen zoals TLS 1.2 en hoger toe te staan.
Postfix en Maildir voor betrouwbare mailaflevering
De Maildir-formaat slaat elke mail op als een afzonderlijk bestand. Dit voorkomt gegevensverlies en vergemakkelijkt IMAP-toegang via clients zoals Thunderbird of Roundcube. Geef hiervoor op:
home_mailbox = Maildir/U moet ook de map ~/Maildir in eerste instantie. Apache, Dovecot en Postfix werken al jaren zonder problemen samen met Maildir.
Als je ook quotaregels per mailmap wilt invoeren, loont het de moeite om eens te kijken naar de configuratie van je IMAP-server zoals Dovecot. Daar kun je opslagbeperkingen definiëren voor individuele mailboxen zodat je de serverbronnen onder controle kunt houden. Dankzij de nauwe integratie van Maildir en Dovecot kun je waarschuwingen definiëren voor gebruikers als ze op het punt staan de limiet te bereiken.
Wachtrijen, foutenanalyse en logbestanden
Na elke wijziging moet u uw configuratie opslaan met sudo postfix controleren controleren. U kunt fouten in het bestand herkennen /var/log/mail.log of /var/log/maillog. Het hulpprogramma geeft openstaande berichten weer mailq op.
Logboekvermeldingen zijn het beste hulpmiddel om problemen te herkennen, zoals onjuiste DNS-vermeldingen of verbroken verbindingen. Als je herhaaldelijk de melding "certificaatverificatie mislukt" ziet, zal dit artikel je helpen: Oplossen van TLS-fouten met Gmail.
Vooral in scenario's met veel mail kan het handig zijn om bounceberichten in de gaten te houden. Met postsuper kun je individuele berichten uit de wachtrij verwijderen of opnieuw afleveren als er fouten zijn opgetreden. postcat kunt u de inhoud van een mail bekijken die nog in de wachtrij staat. Zo kun je snel bepalen of onjuiste headers of ontbrekende afzenderadressen het succes en de afleveringsgraad in gevaar brengen.
Veiligheidsmaatregelen implementeren
Een goed geconfigureerde mailserver heeft beveiligingsmechanismen op verschillende niveaus nodig. Houd rekening met de volgende punten:
- Stel in mynetworks naar vertrouwde IP-bereiken (bijv. 127.0.0.1, ::1)
- Gebruik veilige SMTP-toegangsgegevens
- TLS activeren met geldige certificaten
- SPF, DKIM en optionele greylisting instellen
Dit zal je afleveringspercentage verhogen en je beschermen tegen misbruik. Onthoud dat SPF en DKIM alleen werken als de DNS-vermeldingen correct zijn ingesteld. Voor DKIM is het een goed idee om voor elk domein een aparte sleutel aan te maken en deze automatisch te roteren. Dit voorkomt dat een gecompromitteerde sleutel op de lange termijn wordt gebruikt.
Verdere bescherming tegen spam wordt geboden door de integratie van RBL (realtime blackhole lijsten) of DNSBL (DNS-gebaseerde blackhole lijst) services. Met overeenkomstige vermeldingen in main.cf kunt u inkomende verbindingen van bekende spamnetwerken blokkeren nog voordat ze uw mailserver bereiken.
Uitgebreide instellingsopties en functies
Postfix biedt veel opties voor het in kaart brengen van complexe scenario's. Met koptekst_controles en lijkcontroles kun je bijvoorbeeld e-mails filteren die bepaalde tekenreeksen in de header of body bevatten. Dit kan helpen om spam of gevaarlijke bijlagen uit te filteren voordat ze je systeem bereiken. Voor bedrijven die gevoelige gegevens moeten beschermen, kan het handig zijn om simpelweg bepaalde bestandstypen te blokkeren, zoals .exe-bestanden of scripts.
Andere interessante functies zijn onder andere:
- Postfix-beleidsdienstenHier kun je zogenaamde beleidsdaemons gebruiken om in realtime te beslissen of een e-mail moet worden geaccepteerd, geweigerd of in een greylisting-lus moet worden verzonden.
- Beperking van gelijktijdige verbindingenBij hoge belastingspieken kan het zinvol zijn om slechts een bepaald aantal gelijktijdige SMTP-verbindingen per IP toe te staan om DDOS-achtige aanvallen te voorkomen.
- Adres herschrijvenNaast de canonieke kaarten voor de afzender zijn er ook opties voor het herschrijven van ontvangers (recipient_canonical_maps) om het interne naamgevingsschema te verbergen voor externe afzenders.
Vooral in grote netwerken of bij hosters die shared webhosting aanbieden, komt het vaak voor dat veel verschillende applicaties e-mails versturen. Een strikte scheiding van afzenderadressen en een duidelijk gestructureerde mapping-engine zijn hier essentieel om ervoor te zorgen dat elke applicatie het juiste afzenderdomein gebruikt. Verkeerde configuraties op dit gebied leiden vaak tot DMARC-fouten of geweigerde afleveringen.
Postfix uitbreiden met Dovecot, ClamAV en Co.
Voor inkomende mails heb je ook een IMAP/POP3 server nodig zoals Dovecot. Antivirus- en spamfilters zoals Amavis, SpamAssassin of ClamAV maken de setup compleet. Samen vormen ze een complete mailserver die u ook kunt beheren via webmailtoegang. Roundcube biedt een eenvoudige interface in de browser.
Deze componenten breiden je Postfix-server uit tot een compleet mailcentrum met toegangscontrole rondom - ideaal voor bedrijven en zelfstandigen. Met Amavis, bijvoorbeeld, in combinatie met SpamAssassin en ClamAV, kun je het spamniveau van een e-mail bepalen en met virussen geïnfecteerde berichten weigeren. Een webinterface wordt aanbevolen voor quarantaineverwerking, zodat beheerders verkeerd gesorteerde e-mails ("false positives") snel kunnen vrijgeven. Dit maakt het ook veel eenvoudiger om logs en spamstatistieken te controleren.
Directe vergelijking van hostingproviders voor Postfix
Wil je niet je eigen server draaien? Sommige providers bieden volledige root-toegang met geoptimaliseerde Postfix-integratie. De vergelijking:
| Aanbieder | Prestaties | Prijs | Beveiliging | Aanbeveling |
|---|---|---|---|---|
| webhoster.de | Zeer goed | Gunstig | Hoog | 1 (testwinnaar) |
| Aanbieder B | Goed | Medium | Hoog | 2 |
| Aanbieder C | Bevredigend | Gunstig | Medium | 3 |
Afhankelijk van hoeveel e-mails je per dag verwacht te ontvangen en welke functies je zelf wilt beheren, zal de keuze voor een geschikte hoster variëren. Sommige providers maken automatische DDoS-verdedigingssystemen mogelijk, wat vooral handig is bij een stortvloed aan spampogingen. Support speelt ook een grote rol: in het geval van een fout moet je snel hulp krijgen om downtime te minimaliseren.
Samenvatting - Mijn eindoordeel
Met de juiste Postfix-instellingen kun je een opstelling maken die zowel veilig als krachtig is. Het enige wat je moet doen is de configuratiebestanden duidelijk structureren, aandacht besteden aan de slimme host dispatch en encryptie correct gebruiken. Het is eenvoudig om aan de slag te gaan - mits je je aan de aanbevolen parameters houdt en stap voor stap te werk gaat.
Met tools zoals mailq, postmap en Postfix logs kun je problemen altijd in de gaten houden. Maak verstandig gebruik van bestaande extensies om ervoor te zorgen dat je e-mailverzending geen zwak punt is, maar een stabiele basis voor je communicatie. Met een beetje ervaring en consequent onderhoud zult u merken hoe robuust uw setup is en hoe goed uw eigen mailserver kan worden geïntegreerd in een professionele IT-infrastructuur. Als u ook modules zoals Dovecot, SpamAssassin en ClamAV gebruikt, kunt u zelfs in een zakelijke omgeving aan veeleisende eisen voldoen en uiteindelijk volledige controle krijgen over de e-mailstroom van uw bedrijf.
