O direito Configurações do Postfix determinam a segurança e a funcionalidade de seu servidor de e-mail. Neste artigo, mostrarei todos os principais parâmetros, explicarei os métodos de configuração recomendados e fornecerei exemplos práticos para uso produtivo.
Pontos centrais
- main.cf e master.cf são os centros de controle da configuração do Postfix.
- A Smarthost permite o envio seguro de correspondência por meio de provedores externos.
- STARTTLS garante transmissões criptografadas - sensível e fácil de configurar.
- Maildir como formato aumenta a confiabilidade e a compatibilidade com clientes IMAP.
- Correto Endereços do remetente e SPF/DKIM aumentam as taxas de entrega.
Arquivos e ferramentas de configuração importantes
O arquivo /etc/postfix/main.cf determina quase todas as funções principais do Postfix. Além disso, o master.cf a operação de serviços individuais, como smtpd ou pickup. Para personalizações mais flexíveis, a ferramenta de linha de comando postconf - perfeito para alterações de última hora sem um editor.
Se quiser se aprofundar mais, você encontrará este guia de configuração do servidor Postfix um guia prático passo a passo. A combinação de main.cf e postconf oferece estrutura e flexibilidade em uma única solução.
Para servidores de e-mail maiores, também vale a pena usar um sistema de gerenciamento de versão para os arquivos de configuração. Sistemas como o Git permitem que você acompanhe as alterações rapidamente e as desfaça, se necessário. Isso não apenas economiza tempo, mas também oferece segurança quando se trata de atualizações ou novos recursos. Observe que dados confidenciais, como senhas, não são armazenados em texto simples no Git.
Entendendo o básico - parâmetros essenciais
Um servidor de e-mail funcional requer uma estrutura básica correta. No mínimo, você deve definir as seguintes opções corretamente:
myhostnamePor exemplo, mail.yourserver.comminhaorigem: em sua maioria idêntico a$mydomaininet_interfaces = allAceita conexões de todas as interfaceshome_mailbox = Maildir/classifica os e-mails no formato seguro Maildir
Essas configurações determinam como o servidor envia, recebe e salva e-mails localmente. É comum esquecer que mynetworks deve ser definido adequadamente para que somente os endereços IP autorizados tenham direitos de retransmissão. Especialmente em ambientes maiores ou com vários endereços IPv4 e IPv6, a definição precisa de redes confiáveis pode ser extremamente importante.
Para configurações com capacidade para vários domínios, também é importante virtual_alias_domains e virtual_alias_maps para configurar. Isso permite que vários domínios sejam operados no mesmo servidor sem que você precise de uma instância separada para cada domínio. A configuração principal permanece a mesma; você só define quais domínios são resolvidos para quais usuários do sistema local ou endereços externos.
Configurar o Postfix como um host inteligente
Se você quiser que seu servidor envie apenas e-mails, poderá usar um modo somente de envio por meio de um host inteligente. Para isso, você precisa de:
- Entrada
relayhost = [smtp.provider.de]:587no arquivo main.cf - Nome de usuário e senha via
/etc/postfix/sasl_passwd - Protegendo o arquivo com
chmod 600e geração de hash compostmap
Lembre-se: você precisa de TLS e autenticação com smtp_sasl_auth_enable = yes. Isso protege seu servidor contra uso indevido. Também é muito útil, smtp_sasl_security_options = noanonymous para que a conexão SMTP não fique aberta para tentativas de autenticação anônima.
Se você estiver monitorando o envio de grandes volumes de e-mails, pode ser vantajoso estender o registro de forma adequada e usar ferramentas como plogsumm para usar. Isso lhe fornecerá relatórios diários sobre o volume de envio, erros e possíveis tentativas de spam executadas por meio de seu host inteligente.
Endereços de remetente seguros com sender_canonical_maps
Os provedores de correio eletrônico, como o Gmail, rejeitam e-mails sem um endereço de remetente válido. Sobre o sender_canonical_maps você converte nomes de sistemas locais, como "ubuntu", em endereços de remetentes reais. Isso é feito por meio de um arquivo de mapeamento, por exemplo, como este:
usuário da web [email protected]Após cada alteração, sempre postmap e recarregar o Postfix. Caso contrário, as novas configurações não terão efeito. Em ambientes com vários projetos ou subdomínios, pode ser útil estruturar esses mapas canônicos de forma muito precisa. Por exemplo, "webuser1" pode ser mapeado automaticamente para "[email protected]", enquanto "webuser2" aparece como "[email protected]". Isso mantém a estrutura interna do seu sistema limpa e evita rejeições de grandes provedores.
Ativar a criptografia SSL e TLS
A proteção e a confiabilidade dos dados estão intimamente ligadas à criptografia de transporte. Na variante mais simples, você ativa o TLS com o :
smtp_tls_security_level = mayPara a criptografia obrigatória, use criptografar. O usuário define os certificados associados em smtpd_tls_cert_file e smtpd_tls_key_file. Você pode saber mais sobre hedging no artigo Configurar o Postfix com Perfect Forward Secrecy.
Certifique-se de que seu certificado seja confiável e não esteja expirado ou autoassinado. Embora os certificados autoassinados sejam suficientes para testes, eles geralmente são classificados como inseguros pelos provedores ou servidores de e-mail do destinatário. Com Vamos criptografar você recebe certificados gratuitos e automaticamente renováveis, o que economiza muito esforço manual e fornece uma base sólida para conexões criptografadas.
Você também pode personalizar os conjuntos de cifras para evitar métodos de criptografia fracos. Mesmo que isso crie problemas de compatibilidade com servidores de e-mail mais antigos em alguns casos, geralmente vale a pena permitir apenas protocolos modernos, como o TLS 1.2 e superior.
Postfix e Maildir para entrega confiável de e-mails
O MaildirO formato salva cada e-mail como um arquivo individual. Isso evita a perda de dados e facilita o acesso IMAP por meio de clientes como o Thunderbird ou o Roundcube. Especifique para isso:
home_mailbox = Maildir/Você também deve criar o diretório ~/Maildir inicialmente. O Apache, o Dovecot e o Postfix têm trabalhado em conjunto com o Maildir há anos sem problemas.
Se você também quiser introduzir regras de cota por diretório de e-mail, vale a pena dar uma olhada na configuração do seu servidor IMAP, como o Dovecot. Lá, é possível definir restrições de armazenamento para caixas de correio individuais, de modo a manter os recursos do servidor sob controle. Graças à estreita integração do Maildir e do Dovecot, você pode definir avisos para os usuários se eles estiverem prestes a atingir o limite.
Filas, análise de erros e arquivos de registro
Após cada alteração, você deve salvar sua configuração com sudo postfix check verificar. Você pode reconhecer erros no arquivo /var/log/mail.log ou /var/log/maillog. A ferramenta exibe as mensagens abertas mailq em.
As entradas de registro são a melhor ferramenta para reconhecer problemas, como entradas de DNS incorretas ou desconexões. Se você vir repetidamente mensagens do tipo "falha na verificação do certificado", este artigo o ajudará: Solução de problemas de erros de TLS com o Gmail.
Especialmente em cenários com um grande volume de e-mails, pode ser útil ficar de olho nas mensagens de devolução. Com pós-superior você pode excluir mensagens individuais da fila ou entregá-las novamente se houver erros. postcat permite que você dê uma olhada no conteúdo de um e-mail que ainda está na fila. Isso permite determinar rapidamente se cabeçalhos incorretos ou endereços de remetente ausentes estão prejudicando o sucesso e as taxas de entrega.
Implementar precauções de segurança
Um servidor de e-mail bem configurado precisa de mecanismos de segurança em vários níveis. Observe os seguintes pontos:
- Conjunto mynetworks para intervalos de IP confiáveis (por exemplo, 127.0.0.1, ::1)
- Use dados de acesso SMTP seguros
- Ativar o TLS com certificados válidos
- Configurar SPF, DKIM e greylisting opcional
Isso aumentará sua taxa de entrega e o protegerá contra abusos. Lembre-se de que o SPF e o DKIM só funcionam se as entradas de DNS estiverem configuradas corretamente. Para o DKIM, é uma boa ideia criar uma chave separada para cada domínio e alterná-la automaticamente. Isso evita que uma chave comprometida seja usada a longo prazo.
A integração dos serviços RBL (real-time blackhole lists) ou DNSBL (DNS-based blackhole list) oferece proteção adicional contra spam. Com as entradas correspondentes em main.cf você pode bloquear conexões de entrada de redes de spam conhecidas antes mesmo que elas cheguem ao seu servidor de e-mail.
Opções e recursos de configuração estendidos
O Postfix oferece muitas opções para mapear cenários complexos. Com verificações de cabeçalho e controles_do_corpo você pode, por exemplo, filtrar e-mails que contenham determinadas cadeias de caracteres no cabeçalho ou no corpo. Isso pode ajudar a filtrar spam ou anexos perigosos antes que eles cheguem ao seu sistema. Para empresas que precisam proteger dados confidenciais, pode ser útil simplesmente bloquear determinados tipos de arquivos, como arquivos .exe ou scripts.
Outros recursos interessantes incluem:
- Serviços de política do PostfixAqui você pode usar os chamados daemons de política para decidir em tempo real se um e-mail deve ser aceito, rejeitado ou enviado em um loop de lista cinza.
- Limitação de conexões simultâneasEm picos de carga elevados, pode fazer sentido permitir apenas um determinado número de conexões SMTP simultâneas por IP para evitar ataques do tipo DDOS.
- Reescrita de endereçosAlém dos mapas canônicos do remetente, há também opções de reescrita do destinatário (recipient_canonical_maps) para ocultar o esquema de nomenclatura interno dos remetentes externos.
Especialmente em grandes redes ou com hosters que oferecem hospedagem compartilhada na Web, é comum que muitos aplicativos diferentes enviem e-mails. A separação rigorosa dos endereços de remetente e um mecanismo de mapeamento claramente estruturado são essenciais para garantir que cada aplicativo use o domínio de remetente correto. As configurações incorretas nessa área geralmente levam a erros de DMARC ou a recusas de entrega.
Estenda o Postfix com Dovecot, ClamAV & Co.
Para os e-mails recebidos, você também precisa de um servidor IMAP/POP3, como o Dovecot. Os filtros antivírus e de spam, como Amavis, SpamAssassin ou ClamAV, completam a configuração. Juntos, eles formam um servidor de e-mail completo que você também pode gerenciar por meio do acesso ao webmail. O Roundcube oferece uma interface simples no navegador.
Esses componentes transformam o seu servidor Postfix em um centro de e-mail completo com controle de acesso completo, ideal para empresas e autônomos. Com o Amavis, por exemplo, em combinação com o SpamAssassin e o ClamAV, você pode determinar o nível de spam de um e-mail e rejeitar mensagens infectadas por vírus. Recomenda-se uma interface da Web para o processamento da quarentena, para que os administradores possam liberar rapidamente os e-mails classificados incorretamente ("falsos positivos"). Isso também facilita muito o monitoramento de logs e estatísticas de spam.
Comparação direta de provedores de hospedagem para Postfix
Não quer executar seu próprio servidor? Alguns provedores oferecem acesso total à raiz com integração otimizada do Postfix. A comparação:
| Fornecedor | Desempenho | Preço | Segurança | Recomendação |
|---|---|---|---|---|
| webhoster.de | Muito bom | Favorável | Alta | 1 (vencedor do teste) |
| Provedor B | Bom | Médio | Alta | 2 |
| Provedor C | Satisfatório | Favorável | Médio | 3 |
Dependendo do número de e-mails que você espera receber por dia e das funções que deseja administrar, a escolha do hoster adequado pode variar. Alguns provedores habilitam sistemas automáticos de defesa contra DDoS, o que é particularmente útil diante de uma enxurrada de tentativas de spam. O suporte também desempenha um papel importante: no caso de um erro, você deve receber ajuda rapidamente para minimizar o tempo de inatividade.
Resumo - Minha avaliação final
Com o direito Configurações do Postfix você pode obter uma configuração que seja segura e avançada. Tudo o que você precisa fazer é estruturar os arquivos de configuração de forma clara, prestar atenção ao envio inteligente do host e usar a criptografia corretamente. É fácil começar, desde que você se atenha aos parâmetros recomendados e proceda passo a passo.
Ferramentas como mailq, postmap e logs do Postfix permitem que você acompanhe os problemas o tempo todo. Faça uso sensato das extensões existentes para garantir que o envio de e-mails não seja um ponto fraco, mas uma base estável para sua comunicação. Com um pouco de experiência e manutenção consistente, você perceberá como sua configuração é robusta e como seu próprio servidor de e-mail pode ser integrado a uma infraestrutura de TI profissional. Se você também usar módulos como Dovecot, SpamAssassin e ClamAV, poderá até mesmo atender a requisitos exigentes em um ambiente comercial e, por fim, obter controle total sobre o fluxo de e-mail da sua empresa.
