阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

采用转发服务器增强 Postfix 邮件服务器的安全

184次阅读
没有评论

共计 3422 个字符,预计需要花费 9 分钟才能阅读完成。

采用转发服务器增强 Postfix 邮件服务器的安全

当你启动并运行应用服务器后,你就需要一台好的邮件服务器来为你传递邮件。我为我所有的服务器开通了 Postfix 邮件服务,下面就是我常用的配置。

CentOS 6 上安装 Postfix

  1. yum install postfix

默认安装了 Sendmail,所以最好将它停掉并移除。

  1. service sendmail stop
  2. yum remove sendmail

Postfix 包含了 两个配置文件 main.cf 和 master.cf,对于基本的配置,你需要修改 main.cf。同时,postfix 可以像 shell 变量一样定义参数,并通过 $ 来调用。这些参数不需要再使用前定义,Postfix 只在运行中需要时才会查询某个参数。

配置 postfix

  1. vim /etc/postfix/main.cf

去掉以下行的注释

  1. # 你的主机名
  2. myhostname = yourhostname.com
  3.  
  4. # 你的发件域
  5. myorigin = $myhostname
  6.  
  7. # 指定用于接收邮件的网络接口,这里指定 localhost 是因为我们只用来接受本地的程序投递
  8. inet_interfaces = localhost
  9.  
  10. # 指定所使用的协议,可以使用“all”来增加 IPv6 支持
  11. inet_protocols = ipv4
  12.  
  13.  
  14. # 指定所接受的邮件域
  15. mydestination = $myhostname, localhost.$mydomain, localhost
  16.  
  17. # 仅转发本地主机的邮件,而不是主机所在的网络
  18. mynetworks_style = host

启动 postfix

  1. service postfix start

这些基本的 postfix 配置可以让你的机器发送邮件,你可以通过发送邮件并检查“maillog”日志文件来验证。

  1. echo test mail | mail s “test” leo@techarena51.com && sudo tail f /var/log/maillog
  2.  
  3. # 输出的日志类似如下
  4. Aug2514:16:21 vps postfix/smtp[32622]: E6A372DC065D: to=, relay=smtp.mailserver.org[50.56.21.176], delay=0.8, delays=0.1/0/0.43/0.27, dsn=2.0.0, status=sent (250Great success)
  5. Aug2514:16:21 vps postfix/qmgr[5355]: E6A372DC065D: removed

但是,上述配置并不够,因为邮件服务大多数时候都会被垃圾邮件挤满,你需要添加 SPF、PTR 和 DKIM 记录。即便如此,你的邮件仍然可能被当作垃圾邮件来投递,因为你的 IP 地址被列入了黑名单,大多数时候是因为你的 vps 先前被入侵了。

还有另外一种选择,或者说是更好的方式是使用第三方邮件提供商提供的邮件服务,如 Gmail,或者甚至是 Mailgun。我使用 Mailgun,因为它们提供了每个月 10000 封免费电子邮件,而 Gmail 则提供了每天 100 封左右的邮件。

在“/etc/postfix/main.cf”中,你需要添加“smtp.mailgun.com”作为你的“转发主机”,并启用“SASL”验证,这样 postfix 就可以连接并验证到远程 Mailgun 服务器。

添加或取消以下行的注释。

  1. relayhost =[smtp.mailgun.org]
  2. smtp_sasl_auth_enable = yes
  3. smtp_sasl_password_maps=static:your_username:your_password
  4. smtp_sasl_security_options=noanonymous

Postfix 本身不会实施“SASL”验证,因此你需要安装“cyrus-sasl-plain”。

  1. sudo yum install cyrussaslplain

如果你不安装此包,那么你就会收到这条错误信息“SASL authentication failed; cannot authenticate to server smtp.mailgun.org[50.56.21.176]: no mechanism available)”

重启 postfix

  1. sudo service postfix restart

使用 TLS 加固 Postfix 安全

Postfix 支持 TLS,它是 SSL 的后继者,允许你使用基于密钥的验证来加密数据。我推荐你阅读 http://www.postfix.org/TLS_README.html,以了解 TLS 是怎么和 postfix 一起工作的。

为了使用 TLS,你需要生成一个私钥和一个由证书授权机构颁发的证书。在本例中,我将使用自颁发的证书。

  1. sudo yum install mod_ssl openssl
  2. # 生成私钥
  3. openssl genrsa out smtp.key 2048
  4.  
  5. # 生成 CSR
  6. openssl req newkey smtp.key out smtp.csr
  7.  
  8. # 生成自签名的钥匙
  9. openssl x509 req days 365in smtp.csr signkey smtp.key out smtp.crt
  10.  
  11. # 将文件复制到正确的位置
  12. cp smtp.crt /etc/pki/tls/certs
  13. cp smtp.key /etc/pki/tls/private/smtp.key
  14. cp smtp.csr /etc/pki/tls/private/smtp.csr

打开 postfix 配置文件,然后添加以下参数。

  1. sudo vim /etc/postfix/main.cf
  2.  
  3. smtp_tls_security_level = may
  4. smtpd_tls_security_level = may
  5. smtp_tls_note_starttls_offer = yes
  6.  
  7. smtpd_tls_key_file =/etc/pki/tls/private/smtp.key
  8. smtpd_tls_cert_file =/etc/pki/tls/certs
  9. smtp_tls_CAfile =/etc/ssl/certs/ca.crt
  10. smtp_tls_loglevel =1

安全级别“may”意味着宣告对远程 SMTP 客户端上的 STARTTLS 的支持,但是客户端不需要使用加密。我在这里按照 mailgun 文档提示使用“may”,但是如果你想要强制使用 TLS 加密,可以使用“encrypt”。

  1. service postfix restart
  2. # 发送一封测试邮件
  3. echo test mail | mail s “test” test@yourdomain.com && sudo tail f /var/log/maillog

你应该会看到以下信息

  1. Aug2100:00:06 vps postfix/smtp[4997]: setting up TLS connection to smtp.mailgun.org[50.56.21.176]:587
  2. Aug2100:00:06 vps postfix/smtp[4997]:Trusted TLS connection established to smtp.mailgun.org[50.56.21.176]:587:TLSv1.2with cipher AES256GCMSHA384 (256/256 bits)

如果一切正常,你可以注释掉以下参数。

“smtp_tls_loglevel = 1”

对于故障排除,我推荐你阅读 Postfix 小建议和排障命令

CentOS 6.4 下 Postfix 邮件服务安装和基本配置 http://www.linuxidc.com/Linux/2013-08/88977.htm

CentOS 5.5 下邮件服务器 Postfix 安装 http://www.linuxidc.com/Linux/2012-05/60010.htm

搭建 Red Hat Enterprise Linux 5.4 的 Postfix 邮件服务器 http://www.linuxidc.com/Linux/2012-12/77167.htm

Linux 下架构安全邮件服务器之 Postfix(认证)http://www.linuxidc.com/Linux/2012-09/70527.htm

20 个关于 Postfix 的面试题 http://www.linuxidc.com/Linux/2014-12/110061.htm

Postfix 的详细介绍:请点这里
Postfix 的下载地址:请点这里

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-20发表,共计3422字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中