Annonce

Réduire
Aucune annonce.

Configuration pour un serveur postfix sécurisé ?

Réduire
X
Réduire
 
  • Page sur 1
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages
Précédent template Suivante
  • #1

    Configuration pour un serveur postfix sécurisé ?

    Bonjour,

    Voilà, j'administre un vps de chez OVH et dans ce cadre, j'ai reçu un mail me disant que mon serveur est utilisé pour des activités de spamming.

    Du coup, j'ai voulu améliorer la sécurité de mon serveur postfix, histoire de corriger le bousin.

    Je suis arrivé à la config écrite ci-dessous. Pouvez vous me dire si elle vous parait correcte ?

    Merci beaucoup.

    Code:
    # See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = smtp.mydomain.be
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = vpsXXXX.ovh.net, localhost.ovh.net, , localhost, mydomain.be
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_protocols = all
home_mailbox = Maildir/

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100
smtpd_sasl_auth_enable = yes
smtpd_tls_auth_only = yes
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination
smtp_sasl_auth_enable = yes
smtpd_client_restrictions = permit_mynetworks, reject
    Tags: postfix, sécuriser, serveur
  • #2
    Salut, je suis Rodrigue Daniel

    Anonyme77, tu n'es pas très précis dans tes dits. Apparemment je vois que tu utilises le système Debian (je le découvre). Ta configuration sur le fichier "/etc/postfix/main.cf" a l'air d'être bon mais à un détail près.

    Bon d'après ton fichier, tu as juste configuré le mode ssl couplé avec SMTP, aussi le système d'authentification sasl...
    En parlant même de sasl, que dire des variables
    -> smtpd_sasl_type // serveur d'authentification pour SMTP (en général serveur IMAP/POP : courier ou dovecot?)
    -> smtpd_sasl_path // chemin
    -> smtpd_sasl_security_options // option de sécurité pour bannir les anonymes
    -> smtpd_sasl_local_domain // domaine local du serveur sasl

    puisque tu as uniquement utilisé "smtpd_sasl_auth_enable" pour l'activation uniquement.

    Pour améliorer la sécurité de ton serveur mail, tu peux configurer postfix couplé à un antivirus comme clamav (pour scanner les mails). Aussi je ne sais pas quel serveur IMAP/POP tu utilises : courier ou dovecot? Qu'à cela ne tienne, tu devrais aussi activer le mode ssl au niveau de ce serveur (IMAP/POP).
    Tu peux aussi configurer fail2ban pour bloquer les attaques par dictionnaire, brute force pour le système d'authentification, en plus aussi configurer une prévention par captcha, configurer un programme d'analyse des logs, configurer le parefeu Netfilter pour bloquer les ports inutilisés, filtrer les ports utilisés.

    Peut être il y'a encore d'autres détails que j'ai oublié.
    MERCI
    Dernière modification par rodrigue daniel, 23 décembre 2015, 06h01.
    Passionné par la Sécurité Informatique.
    Le véritable ennemi de la connaissance n'est pas l'ignorance mais l'illusion de la connaissance.
    La quête de la connaissance passe d'abord par l'humilité et ensuite la détermination.

    Commentaire

    • #3
      Bonjour,

      Merci beaucoup pour ta réponse.

      Cependant, ce sujet datant de 8 mois, j'ai eu bien le temps de trouver la réponse.
      Et même de l'oublier.

      Bien à toi.

      A77

      Commentaire

      Précédent template Suivante
      Projets
      Cyprium
      Blog
      CTF Hackademics
      Discord
      Status
      Mentions légales
      Politique de confidentialité
      Conditions générales d'utilisation (CGU)
      Chargement...
      X