Osnovne varnostne nastavitve
Preden si ogledamo napredne varnostne ukrepe, se moramo prepričati, da so osnovne nastavitve pravilne. To vključuje omejitev dostopa do strežnika Postfix. V datoteki /etc/postfix/main.cf morate dodati ali prilagoditi naslednje vrstice:
inet_interfaces = loopback-only mynetworks = 127.0.0.0/8 [::1]/128
Te nastavitve omejujejo dostop do lokalnega gostitelja in preprečujejo zlorabo strežnika kot odprtega posrednika. Odprti posrednik lahko uporabljajo pošiljatelji neželene pošte za pošiljanje nezaželenih e-poštnih sporočil, kar lahko resno škodi ugledu vašega strežnika. Zato je ključnega pomena, da izvedete to osnovno zaščito.
Aktivacija šifriranja TLS
Uporaba protokola TLS (Transport Layer Security) je nujna za zagotavljanje zaupnosti e-poštne komunikacije. Dodajte naslednje vrstice v main.cf-datoteka:
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_security_level = may smtp_tls_security_level = may
Te nastavitve aktivirajo TLS za dohodne in odhodne povezave. Prepričajte se, da uporabljate veljavna potrdila SSL, najbolje od zaupanja vrednega certifikacijskega organa (CA). Pravilno izveden protokol TLS varuje vaša e-poštna sporočila pred prestrezanjem in manipulacijo med prenosom. Več informacij o konfiguraciji TLS najdete v uradni [Postfixovi dokumentaciji](https://www.postfix.org/TLS_README.html).
Nastavitev avtentikacije SASL
Enostavno preverjanje pristnosti in varnostna plast (SASL) zagotavlja dodatno raven varnosti. Te vrstice dodajte v main.cf dodano:
smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname
Ta konfiguracija predvideva, da kot ponudnika SASL uporabljate Dovecot. Če uporabljate drugega ponudnika, ustrezno prilagodite nastavitve. Preverjanje pristnosti SASL preprečuje nepooblaščenim uporabnikom, da bi pošiljali e-pošto prek vašega strežnika, kar znatno poveča varnost.
Zaščita pred napadi z zavrnitvijo storitve
Če želite zaščititi strežnik pred preobremenitvijo, lahko nastavite omejitve povezav. Te vrstice dodajte v main.cf dodano:
smtpd_client_connection_rate_limit = 50 smtpd_client_message_rate_limit = 100 anvil_rate_time_unit = 60s
Te nastavitve omejujejo število povezav in sporočil, ki jih lahko odjemalec pošlje na minuto. Z omejitvijo tega lahko preprečite, da bi bil strežnik preobremenjen z množičnimi zahtevami ali neželeno pošto. To je pomemben korak za zagotavljanje razpoložljivosti vašega poštnega strežnika.
Izvajanje omejitev HELO/EHLO
Številni pošiljatelji neželene pošte uporabljajo neveljavna ali ponarejena imena gostiteljev HELO/EHLO. Takšne povezave lahko blokirate z naslednjimi nastavitvami:
smtpd_helo_required = da smtpd_helo_restrictions = permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname
Ta pravila zahtevajo veljavno ime gostitelja HELO/EHLO in zavračajo povezave z neveljavnimi ali nepopolno kvalificiranimi domenskimi imeni. To pošiljateljem neželene pošte otežuje pošiljanje lažnih e-poštnih sporočil, saj morajo navesti pravilne podatke HELO/EHLO.
Uvedba omejitev za oddajnike
Če želite preprečiti zlorabo strežnika, lahko nastavite omejitve za pošiljatelje:
smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining
Ta pravila zavračajo e-poštna sporočila iz nepopolno kvalificiranih naslovov pošiljateljev ali neznanih domen pošiljateljev. S tem se zmanjša verjetnost, da bo vaš strežnik uporabljen za neželeno pošto ali ribarjenje, hkrati pa se izboljša splošna kakovost prejetih e-poštnih sporočil.
Konfiguracija omejitev prejemnika
Podobno kot pri omejitvah pošiljateljev lahko pravila določite tudi za prejemnike:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient, reject_unknown_recipient_domain
Te nastavitve preprečujejo, da bi vaš strežnik zlorabili kot posrednik za nepooblaščene destinacije, in zavračajo e-poštna sporočila na neveljavne naslove prejemnikov. S tem dodatno povečate varnost strežnika in hkrati zagotovite celovitost e-poštne komunikacije.
Izvajanje greylisting
Učinkovita metoda za zmanjšanje neželene pošte je uvrstitev na sivo listo. Najprej namestite paket Postgrey:
sudo apt install postgrey
Nato dodajte naslednjo vrstico v main.cf dodano:
smtpd_recipient_restrictions = ... (obstoječe nastavitve) check_policy_service unix:private/postgrey
Ta konfiguracija prejeta e-poštna sporočila najprej posreduje storitvi Postgrey, ki ustvari začasne zavrnitve za neznane pošiljatelje. E-poštni strežniki, ki pošiljajo legitimna e-poštna sporočila, po zakasnitvi ponovno poskusijo dostavo, s čimer učinkovito odpravijo pošiljatelje neželene pošte, ki pogosto poskušajo poslati le enkrat.
Aktivacija preverjanja SPF
Okvir politike pošiljatelja (Sender Policy Framework, SPF) pomaga preprečevati ponarejanje e-pošte. Najprej namestite zahtevani paket:
sudo apt install postfix-policyd-spf-python
Nato dodajte te vrstice v main.cf dodano:
policyd-spf_time_limit = 3600s smtpd_recipient_restrictions = ... (obstoječe nastavitve) check_policy_service unix:private/policyd-spf
Ta konfiguracija aktivira preverjanje SPF za dohodna e-poštna sporočila. SPF preveri, ali je bilo e-poštno sporočilo poslano iz pooblaščenega strežnika za določeno domeno, kar pomaga preprečevati lažno sporočanje in povečuje verodostojnost vaše e-poštne komunikacije.
Izvajanje podpisovanja DKIM
DomainKeys Identified Mail (DKIM) dodaja digitalni podpis odhodnim e-poštnim sporočilom. Najprej namestite OpenDKIM:
sudo apt install opendkim opendkim-tools
Nato konfigurirajte OpenDKIM in dodajte te vrstice v main.cf dodano:
milter_protocol = 2 milter_default_action = accept smtpd_milters = unix:/var/run/opendkim/opendkim.sock non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
Te nastavitve aktivirajo podpisovanje DKIM za odhodna e-poštna sporočila. DKIM povečuje varnost, saj zagotavlja, da e-poštna sporočila niso bila neopaženo spremenjena, in krepi zaupanje v pristnost sporočil.
Nastavitev smernic DMARC
Preverjanje pristnosti, poročanje in skladnost sporočil na podlagi domen (DMARC) temelji na SPF in DKIM. Dodajte vnos DMARC DNS za svojo domeno in namestite OpenDMARC:
sudo apt install opendmarc
Konfigurirajte OpenDMARC in dodajte to vrstico v main.cf dodano:
smtpd_milters = ... (obstoječe nastavitve), inet:localhost:8893
Ta konfiguracija omogoča preverjanje DMARC za dohodna e-poštna sporočila. DMARC omogoča lastnikom domen, da določijo politike, kako naj prejemni strežniki obravnavajo neuspešna preverjanja SPF ali DKIM, in zagotavlja podrobna poročila o preverjanju pristnosti e-pošte.
Redno posodabljanje in spremljanje
Varnost je stalen proces. Poskrbite, da boste sistem Postfix redno posodabljali:
sudo apt update sudo apt nadgradnja
Spremljajte tudi dnevnike programa Postfix in poiščite sumljive dejavnosti:
tail -f /var/log/mail.log
Redne posodobitve odpravljajo znane varnostne vrzeli in izboljšujejo stabilnost poštnega strežnika. S stalnim spremljanjem dnevnikov lahko zgodaj prepoznate nenavadne dejavnosti in se nanje hitro odzovete.
Dodatni varnostni ukrepi
Poleg osnovnih in naprednih varnostnih ukrepov lahko za dodatno povečanje varnosti strežnika Postfix sprejmete dodatne ukrepe:
Konfiguracija požarnega zidu
Prepričajte se, da je požarni zid odprl le potrebna vrata za poštni strežnik. Običajno so to vrata 25 (SMTP), 587 (predložitev) in 993 (IMAP prek SSL). Uporabite orodja, kot je npr. ufw ali iptablesza nadzor dostopa do teh vrat in blokiranje neželenih povezav.
Sistemi za odkrivanje vdorov (IDS)
Izvajanje sistema za odkrivanje vdorov, kot je Fail2Banza odkrivanje ponavljajočih se neuspešnih poskusov prijave in samodejno blokiranje naslovov IP s sumljivim vedenjem. To zmanjšuje tveganje napadov z grobo silo na vaš poštni strežnik.
Varnostne kopije in obnavljanje
Redno izdelujte varnostne kopije konfiguracijskih datotek in pomembnih podatkov. V primeru varnostnega incidenta lahko hitro obnovite podatke in zmanjšate prekinitve storitev. Varnostne kopije hranite na varnem mestu in redno preverjajte celovitost varnostnih kopij podatkov.
Upravljanje uporabnikov in pravic
skrbno upravljajte uporabniške račune in dodeljujte le potrebne pravice. Uporabljajte močna gesla in razmislite o uvedbi večfaktorske avtentikacije (MFA) za dodatno zaščito dostopa do poštnega strežnika.
Najboljše prakse za vzdrževanje programa Postfix
Stalno vzdrževanje strežnika Postfix je ključnega pomena za ohranjanje varnosti in zmogljivosti. Tukaj je nekaj najboljših praks:
- Redno preverjajte konfiguracijo: Redno preverjajte
main.cfin druge konfiguracijske datoteke, da zagotovite pravilno izvajanje vseh varnostnih ukrepov. - Analiza dnevnika: Z orodji za samodejno analizo dnevnikov pošte lahko hitro odkrijete nepravilnosti in morebitne varnostne incidente.
- Posodobitve programske opreme: Redno posodabljajte ne le Postfix, temveč tudi vse odvisne komponente, kot so Dovecot, OpenDKIM in OpenDMARC.
- Spremljanje in opozorila: Vzpostavite sistem za spremljanje, ki vas bo obveščal o nenavadnih dejavnostih ali sporočilih o napakah.
Izogibanje pogostim napakam v konfiguraciji programa Postfix
Pri konfiguriranju strežnika Postfix za čim večjo varnost se je treba izogniti nekaterim pogostim napakam:
- Odprti rele: Prepričajte se, da strežnik ni konfiguriran kot odprti posrednik, tako da nastavite
inet_interfacesin .mynetworks-nastavitve pravilno. - Neveljavna potrdila TLS: Za učinkovito uporabo šifriranja TLS vedno uporabljajte veljavna in posodobljena potrdila SSL.
- Manjka avtentikacija: Aktivirajte preverjanje pristnosti SASL, da preprečite zlorabo strežnika.
- Nezadostne omejitve stopenj: Nastavite ustrezne omejitve povezav, da preprečite napade z zavrnitvijo storitve.
- Manjka SPF/DKIM/DMARC: Izvedite celovite metode preverjanja pristnosti e-pošte, da zagotovite celovitost in pristnost e-poštnih sporočil.
Povzetek
Konfiguracija programa Postfix za največjo varnost zahteva skrbno načrtovanje in redno vzdrževanje. Z izvajanjem ukrepov, opisanih v tem članku, lahko znatno izboljšate varnost svojega e-poštnega strežnika. Ne pozabite, da je varnost stalen proces. Bodite na tekočem z novimi grožnjami in najboljšimi praksami, da bo vaš strežnik Postfix zaščiten. Izkoristite vire in skupnosti, ki so na voljo, da se izobražujete in ostanete na tehnološkem vrhu.
Za dodatne informacije in podrobna navodila obiščite uradno [Postfixovo dokumentacijo](https://www.postfix.org/documentation.html) in druge zaupanja vredne vire na področju varnosti e-pošte.
