Saltar para o conteúdo 
O direito Definições do Postfix determinam a segurança e a funcionalidade do seu servidor de correio eletrónico. Neste artigo, mostrar-lhe-ei todos os parâmetros-chave, explicarei os métodos de configuração recomendados e fornecer-lhe-ei exemplos práticos para uma utilização produtiva.
Pontos centrais
- main.cf e master.cf são os centros de controlo da configuração do Postfix.
- A Smarthost permite o envio seguro de correio através de fornecedores externos.
- STARTTLS assegura transmissões encriptadas - sensível e fácil de configurar.
- Maildir como formato aumenta a fiabilidade e a compatibilidade com os clientes IMAP.
- Correto Endereços do remetente e SPF/DKIM aumentam as taxas de entrega.
Ficheiros de configuração e ferramentas importantes
O ficheiro /etc/postfix/main.cf determina quase todas as funções principais do Postfix. Para além disso, o master.cf o funcionamento de serviços individuais, como o smtpd ou o pickup. Para personalizações mais flexíveis, a ferramenta de linha de comando postconf - perfeito para alterações de última hora sem um editor.
Se quiser aprofundar o assunto, encontrará este guia de configuração para o servidor Postfix um guia prático passo-a-passo. A combinação de main.cf e postconf oferece estrutura e flexibilidade numa única solução.
Para servidores de correio maiores, também vale a pena usar um sistema de gestão de versões para os ficheiros de configuração. Sistemas como o Git permitem-lhe acompanhar as alterações rapidamente e desfazê-las, se necessário. Isto não só poupa tempo, como também lhe oferece segurança quando se trata de actualizações ou novas funcionalidades. Tenha em atenção que os dados sensíveis, como as palavras-passe, não são armazenados em texto simples no Git.
Compreender os princípios básicos - parâmetros essenciais
Um servidor de correio eletrónico funcional requer uma estrutura básica correta. No mínimo, deve definir corretamente as seguintes opções:
meu nome de anfitriãopor exemplo, mail.yourerver.comminhaorigem: maioritariamente idêntico a$mydomaininet_interfaces = todosAceita ligações de todas as interfacescaixa_de_correio_doméstico = Maildir/classifica as mensagens de correio eletrónico no formato seguro Maildir
Estas definições determinam a forma como o seu servidor envia, recebe e guarda as mensagens de correio eletrónico localmente. Muitas vezes esquece-se que minhas redes deve ser definido de forma adequada para que apenas os endereços IP autorizados tenham direitos de retransmissão. Especialmente em ambientes maiores ou com múltiplos endereços IPv4 e IPv6, a definição exacta das redes de confiança pode ser extremamente importante.
Para configurações com capacidade para vários domínios, também é importante domínios_alias_virtuais e mapas_de_alias_virtuais para configurar. Isto permite que vários domínios sejam operados no mesmo servidor sem que seja necessária uma instância separada para cada domínio. A configuração principal permanece a mesma; apenas se define que domínios são resolvidos para que utilizadores do sistema local ou endereços externos.
Configurar o Postfix como um host inteligente
Se quiser que o seu servidor apenas envie e-mails, pode utilizar um modo apenas de envio através de um smart host. Para isso, precisa de:
- Entrada
relayhost = [smtp.provider.de]:587no ficheiro main.cf - Nome de utilizador e palavra-passe através de
/etc/postfix/sasl_passwd - Proteger o ficheiro com
chmod 600e geração de hash commapa postal
Lembre-se: precisa de TLS e autenticação com smtp_sasl_auth_enable = sim. Isto protege o seu servidor de utilização indevida. Também é muito útil, smtp_sasl_security_options = noanonymous para que a ligação SMTP não esteja aberta a tentativas de autenticação anónimas.
Se estiver a monitorizar o envio de grandes volumes de correio eletrónico, pode ser vantajoso alargar o registo em conformidade e utilizar ferramentas como pflogsumm para utilizar. Isto fornecer-lhe-á relatórios diários sobre o volume de envio, erros e potenciais tentativas de spam que são executadas através do seu smart host.
Endereços de remetente seguros com sender_canonical_maps
Os fornecedores de correio eletrónico, como o Gmail, rejeitam os e-mails sem um endereço de remetente válido. Acerca de mapas_canónicos_do_remetente converte nomes de sistemas locais, como "ubuntu", em endereços de remetente reais. Isto é feito através de um ficheiro de mapeamento, por exemplo, como este:
webuser [email protected]Após cada alteração, sempre mapa postal e recarregar o Postfix. Caso contrário, as novas configurações não terão efeito. Em ambientes com vários projectos ou subdomínios, pode ser útil estruturar estes mapas canónicos de forma muito fina. Por exemplo, "webuser1" pode ser automaticamente mapeado para "[email protected]", enquanto "webuser2" aparece como "[email protected]". Isto mantém a estrutura interna do seu sistema limpa e evita rejeições de grandes fornecedores.
Ativar a encriptação SSL e TLS
A proteção e a fiabilidade dos dados estão intimamente ligadas à encriptação do transporte. Na variante mais simples, ativa-se o TLS com :
smtp_tls_security_level = mayPara a encriptação obrigatória, utilizar em vez disso encriptar. Os certificados associados são definidos em smtpd_tls_cert_file e smtpd_tls_key_file. Para mais informações sobre a cobertura de riscos, consultar o artigo Configurar o Postfix com Perfect Forward Secrecy.
Certifique-se de que o seu certificado é fiável e não está expirado ou é auto-assinado. Embora os certificados auto-assinados sejam suficientes para testes, são frequentemente classificados como inseguros pelos fornecedores ou servidores de correio eletrónico destinatários. Com Vamos encriptar recebe certificados gratuitos e automaticamente renováveis, o que lhe poupa muito esforço manual e fornece uma base sólida para ligações encriptadas.
Também é possível personalizar os conjuntos de cifras para evitar métodos de encriptação fracos. Mesmo que, nalguns casos, isto crie problemas de compatibilidade com servidores de correio mais antigos, normalmente vale a pena permitir apenas protocolos modernos, como o TLS 1.2 e superior.
Postfix e Maildir para uma entrega de correio fiável
O MaildirO formato - guarda cada correio como um ficheiro individual. Isto evita a perda de dados e facilita o acesso IMAP através de clientes como o Thunderbird ou o Roundcube. Especificar para isto:
caixa_de_correio_doméstico = Maildir/Também é necessário criar o diretório ~/Maildir inicialmente. O Apache, o Dovecot e o Postfix têm trabalhado em conjunto com o Maildir durante anos sem quaisquer problemas.
Se também pretender introduzir regras de quotas por diretório de correio, vale a pena consultar a configuração do seu servidor IMAP, como o Dovecot. Aí, pode definir restrições de armazenamento para caixas de correio individuais, de modo a manter os recursos do servidor sob controlo. Graças à estreita integração do Maildir e do Dovecot, pode definir avisos para os utilizadores se estes estiverem prestes a atingir o limite.
Filas de espera, análise de erros e ficheiros de registo
Após cada alteração, deve guardar a sua configuração com sudo postfix check verificar. É possível reconhecer erros no ficheiro /var/log/mail.log ou /var/log/maillog. A ferramenta exibe as mensagens abertas mailq ...ligado.
As entradas de registo são a melhor ferramenta para reconhecer problemas como entradas DNS incorrectas ou desligamentos. Se vir repetidamente mensagens de "falha na verificação do certificado", este artigo ajudá-lo-á: Resolução de problemas de erros de TLS com o Gmail.
Especialmente em cenários com um elevado volume de correio, pode ser útil manter um olho nas mensagens devolvidas. Com pós-superior é possível eliminar mensagens individuais da fila de espera ou voltar a entregá-las se houver erros. postcat permite-lhe ver o conteúdo de um correio que ainda está na fila de espera. Isto permite-lhe determinar rapidamente se cabeçalhos incorrectos ou endereços de remetente em falta estão a comprometer o sucesso e as taxas de entrega.
Aplicar as precauções de segurança
Um servidor de correio eletrónico bem configurado necessita de mecanismos de segurança a vários níveis. Tenha em atenção os seguintes pontos:
- Conjunto minhas redes para intervalos de IP fiáveis (por exemplo, 127.0.0.1, ::1)
- Utilizar dados de acesso SMTP seguros
- Ativar TLS com certificados válidos
- Configurar SPF, DKIM e greylisting opcional
Isto aumentará a sua taxa de entrega e protegê-lo-á de abusos. Lembre-se de que o SPF e o DKIM só funcionam se as entradas de DNS estiverem corretamente definidas. Para o DKIM, é uma boa ideia criar uma chave separada para cada domínio e rodá-la automaticamente. Isto evita que uma chave comprometida seja utilizada a longo prazo.
A integração de serviços RBL (listas negras em tempo real) ou DNSBL (listas negras baseadas no DNS) proporciona uma maior proteção contra o spam. Com as entradas correspondentes em main.cf pode bloquear as ligações de entrada de redes de spam conhecidas antes mesmo de chegarem ao seu servidor de correio eletrónico.
Opções e caraterísticas de definição alargadas
O Postfix oferece muitas opções para mapear cenários complexos. Com controlos_de_cabeçalho e controlos_do_corpo pode, por exemplo, filtrar mensagens de correio eletrónico que contenham determinadas cadeias de caracteres no cabeçalho ou no corpo. Isto pode ajudar a filtrar o spam ou anexos perigosos antes de chegarem ao seu sistema. Para as empresas que necessitam de proteger dados sensíveis, pode ser útil bloquear simplesmente determinados tipos de ficheiros, como ficheiros .exe ou scripts.
Outras caraterísticas interessantes incluem:
- Serviços de política do PostfixAqui pode utilizar os chamados daemons de políticas para decidir em tempo real se uma mensagem de correio eletrónico deve ser aceite, rejeitada ou enviada num ciclo de listas cinzentas.
- Limitação das ligações simultâneasEm picos de carga elevados, pode fazer sentido permitir apenas um determinado número de ligações SMTP simultâneas por IP, de modo a evitar ataques do tipo DDOS.
- Reescrita de endereçosPara além dos mapas canónicos do remetente, existem também opções para reescrita do destinatário (recipient_canonical_maps) para esconder o esquema de nomes interno de remetentes externos.
Especialmente em grandes redes ou com hosters que oferecem alojamento web partilhado, acontece frequentemente que muitas aplicações diferentes enviam e-mails. A separação rigorosa dos endereços de remetente e um motor de mapeamento claramente estruturado são essenciais para garantir que cada aplicação utiliza o domínio de remetente correto. As configurações incorrectas nesta área conduzem frequentemente a erros DMARC ou a entregas recusadas.
Estenda o Postfix com Dovecot, ClamAV & Co.
Para receber correio eletrónico, também é necessário um servidor IMAP/POP3, como o Dovecot. Os filtros antivírus e anti-spam, como o Amavis, SpamAssassin ou ClamAV, completam a configuração. Em conjunto, formam um servidor de correio completo que também pode ser gerido através do acesso ao webmail. O Roundcube oferece uma interface simples no browser.
Estes componentes transformam o seu servidor Postfix num centro de correio completo com controlo de acesso total - ideal para empresas e trabalhadores independentes. Com o Amavis, por exemplo, em combinação com o SpamAssassin e o ClamAV, pode determinar o nível de spam de um correio eletrónico, bem como rejeitar mensagens infectadas por vírus. Recomenda-se uma interface Web para o processamento de quarentena, para que os administradores possam libertar rapidamente os e-mails incorretamente classificados ("falsos positivos"). Isto também torna muito mais fácil monitorizar os registos e as estatísticas de spam.
Comparação direta de fornecedores de alojamento para o Postfix
Não quer ter o seu próprio servidor? Alguns fornecedores oferecem acesso total à raiz com integração optimizada do Postfix. A comparação:
| Fornecedor | Desempenho | Preço | Segurança | Recomendação |
|---|---|---|---|---|
| webhoster.de | Muito bom | Favorável | Elevado | 1 (vencedor do teste) |
| Fornecedor B | Bom | Médio | Elevado | 2 |
| Fornecedor C | Satisfatório | Favorável | Médio | 3 |
Dependendo do número de e-mails que espera receber por dia e das funções que pretende administrar, a escolha do alojamento adequado pode variar. Alguns fornecedores permitem sistemas automáticos de defesa contra DDoS, o que é particularmente útil em caso de tentativas de envio de spam. O apoio técnico também desempenha um papel importante: em caso de erro, deve receber ajuda rapidamente para minimizar o tempo de inatividade.
Resumo - A minha avaliação final
Com o direito Definições do Postfix pode obter uma configuração que é simultaneamente segura e poderosa. Tudo o que precisa de fazer é estruturar os ficheiros de configuração de forma clara, prestar atenção ao envio inteligente do anfitrião e utilizar a encriptação corretamente. É fácil começar - desde que se atenha aos parâmetros recomendados e proceda passo a passo.
Ferramentas como o mailq, o postmap e os registos do Postfix permitem-lhe acompanhar os problemas a todo o momento. Faça uma utilização sensata das extensões existentes para garantir que o envio de correio eletrónico não é um ponto fraco, mas sim uma base estável para a sua comunicação. Com alguma experiência e uma manutenção consistente, aperceber-se-á da robustez da sua configuração e de como o seu próprio servidor de correio pode ser integrado numa infraestrutura informática profissional. Se também utilizar módulos como o Dovecot, o SpamAssassin e o ClamAV, pode até cumprir requisitos exigentes num ambiente empresarial e, em última análise, obter controlo total sobre o fluxo de correio da sua empresa.
