Comment sécuriser postfix sur Ubuntu Server

14

J'installe un nouveau serveur VPS avec LEMP. Le seul élément qui manque maintenant est le serveur de messagerie. Dois-je faire quelque chose de spécial pour le sécuriser? ou il est déjà sécurisé une fois l'installation terminée?

Je pense que le bon terme durcit postfix, est-ce logique?

Timmy
la source

Réponses:

23

Il y a beaucoup de guides en ligne concernant la configuration et les étapes pour «durcir» le suffixe.

Celui-ci avec l'aimable autorisation de http://security-24-7.com/hardening-guide-for-postfix-2-x/

Guide de durcissement pour Postfix 2.x

Assurez-vous que Postfix fonctionne avec un compte non root:

ps aux | grep postfix | grep -v '^root'

Modifiez les autorisations et la propriété sur les destinations ci-dessous:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Modifiez à l'aide de nano ou vi, le fichier /etc/postfix/main.cfet ajoutez les modifications suivantes: Modifiez la valeur myhostname pour qu'elle corresponde au nom de domaine complet (FQDN) externe du serveur Postfix, par exemple:

myhostname = myserver.example.com

Configurez les adresses d'interface réseau que le service Postfix doit écouter, par exemple:

inet_interfaces = 192.168.1.1

Configurez les réseaux sécurisés, par exemple:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Configurez le serveur SMTP pour masquer les e-mails sortants comme provenant de votre domaine DNS, par exemple:

myorigin = example.com

Configurez la destination du domaine SMTP, par exemple:

mydomain = example.com

Configurez les domaines SMTP vers lesquels relayer les messages, par exemple:

relay_domains = example.com

Configurer la bannière d'accueil SMTP:

smtpd_banner = $myhostname

Limiter les attaques par déni de service:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Redémarrez le démon Postfix:

service postfix restart
Kai
la source
1
très impressionnant, tks
Timmy
6
Je pense également que vous devriez inclure la désactivation de la commande VRFY afin que les noms d'utilisateur ne puissent pas être facilement énumérés. postconf -ev disable_vrfy_command = yes
Mark S.
2
Notez que le processus / usr / lib / postfix / sbin / master peut s'exécuter en tant que root et c'est ok - voir security.stackexchange.com/questions/71922
Jan Żankowski