Как обезопасить постфикс на Ubuntu Server

14

Я устанавливаю новый сервер VPS с LEMP. Единственный кусок, пропавший сейчас, это почтовый сервер. Нужно ли делать что-то особенное, чтобы сделать это безопасным? или он уже защищен после завершения установки?

Я думаю, что правильный термин - твердеющий постфикс, имеет ли смысл?

Тимми
источник

Ответы:

23

В Интернете есть множество руководств, касающихся конфигурации и шагов для «усиления» постфикса.

Это любезно предоставлено http://security-24-7.com/hardening-guide-for-postfix-2-x/

Руководство по усилению для Postfix 2.x

Убедитесь, что Postfix работает с учетной записью без полномочий root:

ps aux | grep postfix | grep -v '^root'

Измените разрешения и владельца на направлениях ниже:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Отредактируйте с помощью nano или vi файл /etc/postfix/main.cfи добавьте следующие изменения: Измените значение myhostname, чтобы оно соответствовало внешнему полному доменному имени (FQDN) сервера Postfix, например:

myhostname = myserver.example.com

Настройте адреса сетевых интерфейсов, которые должна прослушивать служба Postfix, например:

inet_interfaces = 192.168.1.1

Настройте доверенные сети, например:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Настройте SMTP-сервер для маскировки исходящих сообщений электронной почты, приходящих с вашего домена DNS, например:

myorigin = example.com

Настройте назначение домена SMTP, например:

mydomain = example.com

Настройте, на какие домены SMTP ретранслировать сообщения, например:

relay_domains = example.com

Настройте SMTP Приветственный баннер:

smtpd_banner = $myhostname

Предельные атаки типа «отказ в обслуживании»:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Перезапустите демон Postfix:

service postfix restart
Кай
источник
1
очень впечатляет, tks
Тимми
6
Я также думаю, что вы должны включить отключение команды VRFY, чтобы имена пользователей не могли быть легко перечислены. postconf -ev disable_vrfy_command = yes
Марк С.
2
Обратите внимание, что процесс / usr / lib / postfix / sbin / master может запускаться от имени пользователя root, и это нормально - см. Security.stackexchange.com/questions/71922
Ян Янковски,