Bagaimana cara mengamankan postfix di Server Ubuntu

14

Saya menyiapkan server VPS baru dengan LEMP. Satu-satunya bagian yang hilang sekarang adalah server surat. Apakah saya perlu melakukan sesuatu yang khusus untuk membuatnya aman? atau sudah diamankan ketika instalasi selesai?

Saya pikir istilah yang tepat adalah pengerasan postfix, apakah masuk akal?

Timmy
sumber

Jawaban:

23

Ada banyak panduan online mengenai konfigurasi dan langkah-langkah untuk postfix 'pengerasan'.

Yang ini milik http://security-24-7.com/hardening-guide-for-postfix-2-x/

Panduan pengerasan untuk Postfix 2.x

Pastikan Postfix berjalan dengan akun non-root:

ps aux | grep postfix | grep -v '^root'

Ubah izin dan kepemilikan pada tujuan di bawah:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Edit menggunakan nano atau vi, file /etc/postfix/main.cfdan tambahkan buat perubahan berikut: Ubah nilai myhostname agar sesuai dengan nama domain berkualifikasi eksternal (FQDN) dari server Postfix, misalnya:

myhostname = myserver.example.com

Konfigurasikan alamat antarmuka jaringan yang harus didengarkan oleh layanan Postfix, misalnya:

inet_interfaces = 192.168.1.1

Konfigurasikan Jaringan Tepercaya, misalnya:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Konfigurasikan server SMTP untuk menyamarkan email keluar yang berasal dari domain DNS Anda, misalnya:

myorigin = example.com

Konfigurasikan tujuan domain SMTP, misalnya:

mydomain = example.com

Konfigurasikan ke domain SMTP mana untuk menyampaikan pesan, misalnya:

relay_domains = example.com

Konfigurasikan Spanduk Ucapan SMTP:

smtpd_banner = $myhostname

Batasi Penolakan Serangan Layanan:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Mulai kembali daemon Postfix:

service postfix restart
Kai
sumber
1
sangat mengesankan, tks
Timmy
6
Saya juga berpikir bahwa Anda harus menyertakan menonaktifkan perintah VRFY sehingga nama pengguna tidak dapat dengan mudah disebutkan. postconf -ev disable_vrfy_command = yes
Mark S.
2
Perhatikan bahwa / usr / lib / postfix / sbin / master proses dapat berjalan sebagai root dan tidak apa-apa - lihat security.stackexchange.com/questions/71922
Jan Żankowski