Cómo asegurar postfix en Ubuntu Server

14

Estoy configurando un nuevo servidor VPS con LEMP. La única pieza que falta ahora es el servidor de correo. ¿Necesito hacer algo especial para que sea seguro? o ya está asegurado cuando se completa la instalación?

Creo que el término correcto es endurecer postfix, ¿tiene sentido?

Timmy
fuente

Respuestas:

23

Hay muchas guías en línea sobre la configuración y los pasos para 'endurecer' el postfix.

Esta es cortesía de http://security-24-7.com/hardening-guide-for-postfix-2-x/

Guía de endurecimiento para Postfix 2.x

Asegúrese de que Postfix se esté ejecutando con una cuenta no root:

ps aux | grep postfix | grep -v '^root'

Cambie los permisos y la propiedad en los siguientes destinos:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Edite usando nano o vi, el archivo /etc/postfix/main.cfy agregue realice los siguientes cambios: Modifique el valor de mi nombrehost para que corresponda con el nombre de dominio externo completo (FQDN) del servidor Postfix, por ejemplo:

myhostname = myserver.example.com

Configure las direcciones de la interfaz de red que el servicio Postfix debería escuchar, por ejemplo:

inet_interfaces = 192.168.1.1

Configure Redes confiables, por ejemplo:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Configure el servidor SMTP para enmascarar los correos electrónicos salientes como provenientes de su dominio DNS, por ejemplo:

myorigin = example.com

Configure el destino del dominio SMTP, por ejemplo:

mydomain = example.com

Configure a qué dominios SMTP retransmitir mensajes, por ejemplo:

relay_domains = example.com

Configurar el banner de saludo SMTP:

smtpd_banner = $myhostname

Limite los ataques de denegación de servicio:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Reinicia el demonio Postfix:

service postfix restart
Kai
fuente
1
muy impresionante, tks
Timmy
66
También creo que debería incluir la desactivación del comando VRFY para que los nombres de usuario no puedan enumerarse fácilmente. postconf -ev disable_vrfy_command = yes
Mark S.
2
Tenga en cuenta que el proceso / usr / lib / postfix / sbin / master puede ejecutarse como root y eso está bien - vea security.stackexchange.com/questions/71922
Jan Żankowski