Como proteger o postfix no Ubuntu Server

14

Estou configurando um novo servidor VPS com o LEMP. A única peça que falta agora é o servidor de correio. Preciso fazer algo especial para torná-lo seguro? ou já está protegido quando a instalação estiver concluída?

Eu acho que o termo certo está endurecendo o postfix, isso faz sentido?

Timmy
fonte

Respostas:

23

Existem muitos guias on-line sobre a configuração e as etapas para 'fortalecer' o postfix.

Esta cortesia é de http://security-24-7.com/hardening-guide-for-postfix-2-x/

Guia de proteção do Postfix 2.x

Verifique se o Postfix está sendo executado com uma conta não raiz:

ps aux | grep postfix | grep -v '^root'

Altere as permissões e a propriedade nos destinos abaixo:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Edite usando nano ou vi, o arquivo /etc/postfix/main.cfe adicione, faça as seguintes alterações: Modifique o valor myhostname para corresponder ao nome de domínio totalmente qualificado externo (FQDN) do servidor Postfix, por exemplo:

myhostname = myserver.example.com

Configure os endereços da interface de rede que o serviço Postfix deve escutar, por exemplo:

inet_interfaces = 192.168.1.1

Configure redes confiáveis, por exemplo:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Configure o servidor SMTP para mascarar emails de saída como provenientes do seu domínio DNS, por exemplo:

myorigin = example.com

Configure o destino do domínio SMTP, por exemplo:

mydomain = example.com

Configure para quais domínios SMTP retransmitir mensagens, por exemplo:

relay_domains = example.com

Configure o banner de saudação SMTP:

smtpd_banner = $myhostname

Limitar ataques de negação de serviço:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Reinicie o daemon Postfix:

service postfix restart
Kai
fonte
1
muito impressionante, tks
Timmy
6
Também acho que você deve incluir a desativação do comando VRFY para que os nomes de usuário não possam ser facilmente enumerados. postconf -ev disable_vrfy_command = yes
Mark S.
2
Nota processo que / usr / lib / postfix / sbin / master pode ser executado como raiz e isso é ok - ver security.stackexchange.com/questions/71922
Jan Żankowski