logotyp för webbhotell

Postfix-konfiguration för maximal säkerhet: en omfattande guide

Grundläggande säkerhetsinställningar

Innan vi tittar på de avancerade säkerhetsåtgärderna bör vi se till att grundinställningarna är korrekta. Detta inkluderar begränsning av åtkomst till Postfix-servern. I filen /etc/postfix/main.cf bör du lägga till eller justera följande rader:

inet_interfaces = endast loopback
mynetworks = 127.0.0.0/8 [::1]/128

Dessa inställningar begränsar åtkomsten till den lokala värden och förhindrar att servern missbrukas som ett öppet relä. Ett öppet relä kan användas av spammare för att skicka oönskade e-postmeddelanden, vilket allvarligt kan skada din servers rykte. Det är därför mycket viktigt att utföra detta grundläggande skydd.

Aktivera TLS-kryptering

Användningen av TLS (Transport Layer Security) är nödvändig för att säkerställa sekretessen i e-postkommunikationen. Lägg till följande rader i main.cf-fil:

smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level = may
smtp_tls_security_level = may

Dessa inställningar aktiverar TLS för inkommande och utgående anslutningar. Se till att du använder giltiga SSL-certifikat, helst från en betrodd certifikatutfärdare (CA). En korrekt implementerad TLS skyddar dina e-postmeddelanden från avlyssning och manipulation under överföringen. Mer information om TLS-konfiguration finns i den officiella [Postfix-dokumentationen] (https://www.postfix.org/TLS_README.html).

Konfigurera SASL-autentisering

SASL (Simple Authentication and Security Layer) ger ytterligare ett lager av säkerhet. Lägg till dessa rader i main.cf tillagd:

smtpd_sasl_type = dovecot
smtpd_sasl_path = privat/auth
smtpd_sasl_auth_enable = ja
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

Den här konfigurationen förutsätter att du använder Dovecot som SASL-leverantör. Om du använder en annan leverantör måste du justera inställningarna i enlighet med detta. SASL-autentisering förhindrar obehöriga användare från att skicka e-post via din server, vilket ökar säkerheten avsevärt.

Skydd mot överbelastningsattacker (denial-of-service)

För att skydda servern från överbelastning kan du ställa in anslutningsgränser. Lägg till dessa rader i main.cf tillagd:

smtpd_client_connection_rate_limit = 50
smtpd_client_message_rate_limit = 100
anvil_rate_time_unit = 60s

Dessa inställningar begränsar antalet anslutningar och meddelanden som en klient kan skicka per minut. Genom att begränsa detta kan du förhindra att din server överbelastas av massförfrågningar eller skräppost. Detta är ett viktigt steg för att säkerställa tillgängligheten för din e-postserver.

Implementera HELO/EHLO-begränsningar

Många spam-avsändare använder ogiltiga eller förfalskade HELO/EHLO-värdnamn. Du kan blockera sådana anslutningar med följande inställningar:

smtpd_helo_required = ja
smtpd_helo_restriktioner =
 permit_mynetworks,
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname

Dessa regler kräver ett giltigt HELO/EHLO-värdnamn och avvisar anslutningar med ogiltiga eller inte fullt kvalificerade domännamn. Detta gör det svårare för spammare att skicka falska e-postmeddelanden eftersom de måste tillhandahålla korrekt HELO/EHLO-information.

Införa restriktioner för sändare

För att förhindra missbruk av din server kan du ställa in begränsningar för avsändare:

smtpd_avsändare_restriktioner =
 permit_mynetworks,
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining

Dessa regler avvisar e-postmeddelanden från ofullständigt kvalificerade avsändaradresser eller okända avsändardomäner. Detta minskar sannolikheten för att din server används för skräppost eller nätfiske och förbättrar samtidigt den övergripande kvaliteten på de e-postmeddelanden som tas emot.

Konfigurera begränsningar för mottagare

På samma sätt som för avsändarbegränsningar kan du även definiera regler för mottagare:

smtpd_mottagare_begränsningar =
 permit_mynetworks,
 reject_unauth_destination,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain

Dessa inställningar förhindrar att din server missbrukas som relä för obehöriga destinationer och avvisar e-postmeddelanden till ogiltiga mottagaradresser. Detta ökar säkerheten för din server ytterligare och garanterar samtidigt integriteten i e-postkommunikationen.

Implementera greylisting

Greylisting är en effektiv metod för att minska skräppost. Installera först paketet Postgrey:

sudo apt installera postgrey

Lägg sedan till följande rad i filen main.cf tillagd:

smtpd_mottagare_begränsningar =
 ... (befintliga inställningar)
 check_policy_service unix:privat/postgrey

Den här konfigurationen vidarebefordrar först inkommande e-postmeddelanden till tjänsten Postgrey, som genererar tillfälliga avvisningar för okända avsändare. E-postservrar som skickar legitima e-postmeddelanden försöker leverera igen efter en fördröjning, vilket effektivt eliminerar skräppostavsändare som ofta bara försöker skicka en gång.

Aktivera SPF-kontroll

Sender Policy Framework (SPF) hjälper till att förhindra spoofing av e-post. Installera först det paket som krävs:

sudo apt installera postfix-policyd-spf-python

Lägg sedan till dessa rader i main.cf tillagd:

policyd-spf_tidsbegränsning = 3600s
smtpd_recipient_restrictions =
 ... (befintliga inställningar)
 check_policy_service unix:private/policyd-spf

Den här konfigurationen aktiverar SPF-kontrollen för inkommande e-postmeddelanden. SPF kontrollerar om e-postmeddelandet skickades från en auktoriserad server för den angivna domänen, vilket hjälper till att förhindra spoofing och öka trovärdigheten i din e-postkommunikation.

Implementera DKIM-signering

DomainKeys Identified Mail (DKIM) lägger till en digital signatur till utgående e-postmeddelanden. Installera först OpenDKIM:

sudo apt installera opendkim opendkim-tools

Konfigurera sedan OpenDKIM och lägg till dessa rader i main.cf tillagd:

milter_protokoll = 2
milter_default_action = acceptera
smtpd_milters = unix:/var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock

Dessa inställningar aktiverar DKIM-signering för utgående e-postmeddelanden. DKIM ökar säkerheten genom att säkerställa att e-postmeddelanden inte har ändrats obemärkt och stärker förtroendet för meddelandenas äkthet.

Sätt upp DMARC-riktlinjer

DMARC (Domain-based Message Authentication, Reporting and Conformance) baseras på SPF och DKIM. Lägg till en DMARC DNS-post för din domän och installera OpenDMARC:

sudo apt installera opendmarc

Konfigurera OpenDMARC och lägg till denna rad i main.cf tillagd:

smtpd_milters = ... (befintliga inställningar), inet:localhost:8893

Den här konfigurationen aktiverar DMARC-kontroll för inkommande e-postmeddelanden. DMARC gör det möjligt för domänägare att ange policyer för hur mottagande servrar ska hantera misslyckade SPF- eller DKIM-kontroller och ger detaljerade rapporter om e-postautentisering.

Regelbundna uppdateringar och övervakning

Säkerhet är en ständigt pågående process. Se till att du uppdaterar ditt Postfix-system regelbundet:

sudo apt uppdatering
sudo apt uppgradering

Kontrollera även Postfix-loggar för misstänkt aktivitet:

tail -f /var/log/mail.log

Regelbundna uppdateringar täpper till kända säkerhetsluckor och förbättrar stabiliteten hos din e-postserver. Kontinuerlig övervakning av loggarna gör att du kan upptäcka ovanliga aktiviteter på ett tidigt stadium och reagera snabbt på dem.

Ytterligare säkerhetsåtgärder

Utöver de grundläggande och avancerade säkerhetsåtgärderna finns det ytterligare åtgärder som du kan vidta för att ytterligare öka säkerheten för din Postfix-server:

Konfiguration av brandvägg

Se till att brandväggen endast har öppnat de portar som behövs för e-postservern. Vanligtvis är detta port 25 (SMTP), port 587 (submission) och port 993 (IMAP via SSL). Använd verktyg som t.ex. ufw eller . iptablesför att kontrollera åtkomsten till dessa portar och blockera oönskade anslutningar.

System för detektering av intrång (IDS)

Implementera ett system för intrångsdetektering, t.ex. Fail2Banför att upptäcka upprepade misslyckade inloggningsförsök och automatiskt blockera IP-adresser som uppvisar misstänkt beteende. Detta minskar risken för brute force-attacker mot din e-postserver.

Säkerhetskopiering och återställning

Gör regelbundna säkerhetskopior av dina konfigurationsfiler och viktiga data. I händelse av en säkerhetsincident kan du återställa snabbt och minimera serviceavbrott. Förvara säkerhetskopiorna på en säker plats och kontrollera regelbundet att säkerhetskopiorna är korrekta.

Hantering av användare och rättigheter

Hantera användarkonton noggrant och tilldela endast nödvändiga rättigheter. Använd starka lösenord och överväg att implementera multifaktorautentisering (MFA) för att ytterligare säkra åtkomsten till e-postservern.

Bästa praxis för underhåll av Postfix

Löpande underhåll av din Postfix-server är avgörande för att upprätthålla säkerhet och prestanda. Här är några bästa metoder:


  • Kontrollera konfigurationen med jämna mellanrum: Kontrollera regelbundet din main.cf och andra konfigurationsfiler för att säkerställa att alla säkerhetsåtgärder är korrekt implementerade.

  • Logganalys: Använd verktyg för att automatiskt analysera dina e-postloggar för att snabbt identifiera avvikelser och potentiella säkerhetsincidenter.

  • Uppdateringar av programvara: Uppdatera inte bara Postfix, utan även alla beroende komponenter som Dovecot, OpenDKIM och OpenDMARC regelbundet.

  • Övervakning och varningar: Implementera ett övervakningssystem som meddelar dig om ovanliga aktiviteter eller felmeddelanden.

Undvik vanliga fel i Postfix-konfigurationen

När du konfigurerar Postfix för att maximera säkerheten finns det vanliga misstag som bör undvikas:


  • Öppet relä: Kontrollera att din server inte är konfigurerad som ett öppet relä genom att ställa in inet_gränssnitt och mynnätverk-inställningarna korrekt.

  • Ogiltiga TLS-certifikat: Använd alltid giltiga och uppdaterade SSL-certifikat för att kunna använda TLS-kryptering på ett effektivt sätt.

  • Saknar autentisering: Aktivera SASL-autentisering för att förhindra missbruk av din server.

  • Otillräckliga räntegränser: Ställ in lämpliga anslutningsgränser för att förhindra överbelastningsattacker (denial-of-service).

  • Saknar SPF/DKIM/DMARC: Implementera omfattande metoder för autentisering av e-post för att säkerställa integriteten och äktheten i dina e-postmeddelanden.

Sammanfattning

Att konfigurera Postfix för maximal säkerhet kräver noggrann planering och regelbundet underhåll. Genom att genomföra de åtgärder som beskrivs i den här artikeln kan du avsevärt förbättra säkerheten för din e-postserver. Kom ihåg att säkerhet är en ständigt pågående process. Håll dig uppdaterad om nya hot och bästa praxis för att hålla din Postfix-server skyddad. Utnyttja de resurser och gemenskaper som finns tillgängliga för att utbilda dig själv och hålla dig i framkant när det gäller teknik.

Mer information och detaljerade instruktioner finns i den officiella [Postfix-dokumentationen] (https://www.postfix.org/documentation.html) och i andra tillförlitliga källor inom området e-postsäkerhet.

Aktuella artiklar

Webbhotellsportalen med de bästa betygen.

Twitter Instagram Facebook-f Youtube Pinterest

Webbhotell

Förvaltade tjänster

  • Underhåll av servern
  • Övervakning
  • Uppdateringar av Wordpress
  • SEO-tjänst
  • Gör webbplatsen snabbare

Rekommendation och test

  • Leverantörskatalog
  • Jämförelse av webbhotell
  • Hastighetstest
  • Rekommendation om värdskap
  • Webbdesigner