Annonce

Réduire
Aucune annonce.

Configuration pour un serveur postfix sécurisé ?

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Configuration pour un serveur postfix sécurisé ?

    Bonjour,

    Voilà, j'administre un vps de chez OVH et dans ce cadre, j'ai reçu un mail me disant que mon serveur est utilisé pour des activités de spamming.

    Du coup, j'ai voulu améliorer la sécurité de mon serveur postfix, histoire de corriger le bousin.

    Je suis arrivé à la config écrite ci-dessous. Pouvez vous me dire si elle vous parait correcte ?

    Merci beaucoup.

    Code:
    # See /usr/share/postfix/main.cf.dist for a commented, more complete version
    
    
    # Debian specific:  Specifying a file name will cause the first
    # line of that file to be used as the name.  The Debian default
    # is /etc/mailname.
    #myorigin = /etc/mailname
    
    smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
    biff = no
    
    # appending .domain is the MUA's job.
    append_dot_mydomain = no
    
    # Uncomment the next line to generate "delayed mail" warnings
    #delay_warning_time = 4h
    
    readme_directory = no
    
    # TLS parameters
    smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
    smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
    smtpd_use_tls=yes
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
    
    # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
    # information on enabling SSL in the smtp client.
    
    myhostname = smtp.mydomain.be
    alias_maps = hash:/etc/aliases
    alias_database = hash:/etc/aliases
    myorigin = /etc/mailname
    mydestination = vpsXXXX.ovh.net, localhost.ovh.net, , localhost, mydomain.be
    mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
    mailbox_size_limit = 0
    recipient_delimiter = +
    inet_protocols = all
    home_mailbox = Maildir/
    
    default_process_limit = 100
    smtpd_client_connection_count_limit = 10
    smtpd_client_connection_rate_limit = 30
    queue_minfree = 20971520
    header_size_limit = 51200
    message_size_limit = 10485760
    smtpd_recipient_limit = 100
    smtpd_sasl_auth_enable = yes
    smtpd_tls_auth_only = yes
    smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination
    smtp_sasl_auth_enable = yes
    smtpd_client_restrictions = permit_mynetworks, reject

  • #2
    Salut, je suis Rodrigue Daniel

    Anonyme77, tu n'es pas très précis dans tes dits. Apparemment je vois que tu utilises le système Debian (je le découvre). Ta configuration sur le fichier "/etc/postfix/main.cf" a l'air d'être bon mais à un détail près.

    Bon d'après ton fichier, tu as juste configuré le mode ssl couplé avec SMTP, aussi le système d'authentification sasl...
    En parlant même de sasl, que dire des variables
    -> smtpd_sasl_type // serveur d'authentification pour SMTP (en général serveur IMAP/POP : courier ou dovecot?)
    -> smtpd_sasl_path // chemin
    -> smtpd_sasl_security_options // option de sécurité pour bannir les anonymes
    -> smtpd_sasl_local_domain // domaine local du serveur sasl

    puisque tu as uniquement utilisé "smtpd_sasl_auth_enable" pour l'activation uniquement.

    Pour améliorer la sécurité de ton serveur mail, tu peux configurer postfix couplé à un antivirus comme clamav (pour scanner les mails). Aussi je ne sais pas quel serveur IMAP/POP tu utilises : courier ou dovecot? Qu'à cela ne tienne, tu devrais aussi activer le mode ssl au niveau de ce serveur (IMAP/POP).
    Tu peux aussi configurer fail2ban pour bloquer les attaques par dictionnaire, brute force pour le système d'authentification, en plus aussi configurer une prévention par captcha, configurer un programme d'analyse des logs, configurer le parefeu Netfilter pour bloquer les ports inutilisés, filtrer les ports utilisés.

    Peut être il y'a encore d'autres détails que j'ai oublié.
    MERCI
    Dernière modification par rodrigue daniel, 23 décembre 2015, 06h01.
    Passionné par la Sécurité Informatique.
    Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
    La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

    Commentaire


    • #3
      Bonjour,

      Merci beaucoup pour ta réponse.

      Cependant, ce sujet datant de 8 mois, j'ai eu bien le temps de trouver la réponse.
      Et même de l'oublier.

      Bien à toi.

      A77

      Commentaire

      Chargement...
      X