Pertanyaan Cara mengamankan postfix di Ubuntu Server


Saya menyiapkan server VPS baru dengan LEMP. Satu-satunya bagian yang hilang sekarang adalah server email. Apakah saya perlu melakukan sesuatu yang istimewa untuk membuatnya aman? atau sudah diamankan saat instalasi selesai?

Saya pikir istilah yang tepat adalah postfix yang mengeras, apakah itu masuk akal?


14
2018-02-08 23:11


asal




Jawaban:


Ada banyak panduan online mengenai konfigurasi dan langkah-langkah untuk postfix 'pengerasan'.

Ini milik satu http://security-24-7.com/hardening-guide-for-postfix-2-x/

Panduan pengerasan untuk Postfix 2.x

Pastikan Postfix berjalan dengan akun non-root:

ps aux | grep postfix | grep -v '^root'

Ubah izin dan kepemilikan pada tujuan di bawah ini:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Edit menggunakan nano atau vi, file /etc/postfix/main.cf dan tambahkan buat perubahan berikut: Ubah nilai myhostname agar sesuai dengan nama domain yang memenuhi syarat eksternal (FQDN) dari server Postfix, misalnya:

myhostname = myserver.example.com

Konfigurasikan alamat antarmuka jaringan yang harus didengarkan oleh layanan Postfix, misalnya:

inet_interfaces = 192.168.1.1

Konfigurasikan Jaringan Tepercaya, misalnya:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Konfigurasikan server SMTP untuk menyamarkan email keluar sebagai berasal dari domain DNS Anda, misalnya:

myorigin = example.com

Konfigurasikan tujuan domain SMTP, misalnya:

mydomain = example.com

Konfigurasikan ke domain SMTP mana untuk merelai pesan ke, misalnya:

relay_domains = example.com

Konfigurasikan Spanduk Ucapan SMTP:

smtpd_banner = $myhostname

Batasi Serangan Denial of Service:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Restart daemon Postfix:

service postfix restart

23
2018-02-08 23:19



sangat mengesankan, tks - Timmy
Saya juga berpikir bahwa Anda harus menyertakan menonaktifkan perintah VRFY sehingga nama pengguna tidak dapat dengan mudah disebutkan. postconf -ev disable_vrfy_command = yes - Mark S.
Perhatikan bahwa proses / usr / lib / postfix / sbin / master bisa jalankan sebagai root dan itu ok - lihat security.stackexchange.com/questions/71922 - Jan Żankowski