Come proteggere postfix su Ubuntu Server


14

Sto configurando un nuovo server VPS con LEMP. L'unico pezzo mancante ora è il server di posta. Devo fare qualcosa di speciale per renderlo sicuro? o è già protetto al termine dell'installazione?

Penso che il termine giusto indurisca postfix, ha senso?

Risposte:


23

Ci sono molte guide online per quanto riguarda la configurazione e i passaggi per il postfix 'hardening'.

Questo per gentile concessione di http://security-24-7.com/hardening-guide-for-postfix-2-x/

Guida all'indurimento per Postfix 2.x

Assicurati che Postfix sia in esecuzione con un account non root:

ps aux | grep postfix | grep -v '^root'

Modifica autorizzazioni e proprietà sulle destinazioni seguenti:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Modifica usando nano o vi, il file /etc/postfix/main.cfe aggiungi apporta le seguenti modifiche: Modifica il valore myhostname in modo che corrisponda al nome di dominio completo esterno (FQDN) del server Postfix, ad esempio:

myhostname = myserver.example.com

Configurare gli indirizzi dell'interfaccia di rete su cui il servizio Postfix dovrebbe essere in ascolto, ad esempio:

inet_interfaces = 192.168.1.1

Configurare reti affidabili, ad esempio:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Configurare il server SMTP per mascherare le e-mail in uscita come provenienti dal dominio DNS, ad esempio:

myorigin = example.com

Configurare la destinazione del dominio SMTP, ad esempio:

mydomain = example.com

Configurare a quali domini SMTP inoltrare i messaggi, ad esempio:

relay_domains = example.com

Configura banner di auguri SMTP:

smtpd_banner = $myhostname

Limitare gli attacchi Denial of Service:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Riavvia il demone Postfix:

service postfix restart

1
molto impressionante, tks
Timmy

6
Penso anche che dovresti includere la disabilitazione del comando VRFY in modo che i nomi utente non possano essere facilmente enumerati. postconf -ev disable_vrfy_command = yes
Mark S.

2
Nota che il processo / usr / lib / postfix / sbin / master può essere eseguito come root e va bene - vedi security.stackexchange.com/questions/71922
Jan Żankowski
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.