阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

采用转发服务器增强 Postfix 邮件服务器的安全

178次阅读
没有评论

共计 3422 个字符,预计需要花费 9 分钟才能阅读完成。

采用转发服务器增强 Postfix 邮件服务器的安全

当你启动并运行应用服务器后,你就需要一台好的邮件服务器来为你传递邮件。我为我所有的服务器开通了 Postfix 邮件服务,下面就是我常用的配置。

CentOS 6 上安装 Postfix

  1. yum install postfix

默认安装了 Sendmail,所以最好将它停掉并移除。

  1. service sendmail stop
  2. yum remove sendmail

Postfix 包含了 两个配置文件 main.cf 和 master.cf,对于基本的配置,你需要修改 main.cf。同时,postfix 可以像 shell 变量一样定义参数,并通过 $ 来调用。这些参数不需要再使用前定义,Postfix 只在运行中需要时才会查询某个参数。

配置 postfix

  1. vim /etc/postfix/main.cf

去掉以下行的注释

  1. # 你的主机名
  2. myhostname = yourhostname.com
  3.  
  4. # 你的发件域
  5. myorigin = $myhostname
  6.  
  7. # 指定用于接收邮件的网络接口,这里指定 localhost 是因为我们只用来接受本地的程序投递
  8. inet_interfaces = localhost
  9.  
  10. # 指定所使用的协议,可以使用“all”来增加 IPv6 支持
  11. inet_protocols = ipv4
  12.  
  13.  
  14. # 指定所接受的邮件域
  15. mydestination = $myhostname, localhost.$mydomain, localhost
  16.  
  17. # 仅转发本地主机的邮件,而不是主机所在的网络
  18. mynetworks_style = host

启动 postfix

  1. service postfix start

这些基本的 postfix 配置可以让你的机器发送邮件,你可以通过发送邮件并检查“maillog”日志文件来验证。

  1. echo test mail | mail s “test” leo@techarena51.com && sudo tail f /var/log/maillog
  2.  
  3. # 输出的日志类似如下
  4. Aug2514:16:21 vps postfix/smtp[32622]: E6A372DC065D: to=, relay=smtp.mailserver.org[50.56.21.176], delay=0.8, delays=0.1/0/0.43/0.27, dsn=2.0.0, status=sent (250Great success)
  5. Aug2514:16:21 vps postfix/qmgr[5355]: E6A372DC065D: removed

但是,上述配置并不够,因为邮件服务大多数时候都会被垃圾邮件挤满,你需要添加 SPF、PTR 和 DKIM 记录。即便如此,你的邮件仍然可能被当作垃圾邮件来投递,因为你的 IP 地址被列入了黑名单,大多数时候是因为你的 vps 先前被入侵了。

还有另外一种选择,或者说是更好的方式是使用第三方邮件提供商提供的邮件服务,如 Gmail,或者甚至是 Mailgun。我使用 Mailgun,因为它们提供了每个月 10000 封免费电子邮件,而 Gmail 则提供了每天 100 封左右的邮件。

在“/etc/postfix/main.cf”中,你需要添加“smtp.mailgun.com”作为你的“转发主机”,并启用“SASL”验证,这样 postfix 就可以连接并验证到远程 Mailgun 服务器。

添加或取消以下行的注释。

  1. relayhost =[smtp.mailgun.org]
  2. smtp_sasl_auth_enable = yes
  3. smtp_sasl_password_maps=static:your_username:your_password
  4. smtp_sasl_security_options=noanonymous

Postfix 本身不会实施“SASL”验证,因此你需要安装“cyrus-sasl-plain”。

  1. sudo yum install cyrussaslplain

如果你不安装此包,那么你就会收到这条错误信息“SASL authentication failed; cannot authenticate to server smtp.mailgun.org[50.56.21.176]: no mechanism available)”

重启 postfix

  1. sudo service postfix restart

使用 TLS 加固 Postfix 安全

Postfix 支持 TLS,它是 SSL 的后继者,允许你使用基于密钥的验证来加密数据。我推荐你阅读 http://www.postfix.org/TLS_README.html,以了解 TLS 是怎么和 postfix 一起工作的。

为了使用 TLS,你需要生成一个私钥和一个由证书授权机构颁发的证书。在本例中,我将使用自颁发的证书。

  1. sudo yum install mod_ssl openssl
  2. # 生成私钥
  3. openssl genrsa out smtp.key 2048
  4.  
  5. # 生成 CSR
  6. openssl req newkey smtp.key out smtp.csr
  7.  
  8. # 生成自签名的钥匙
  9. openssl x509 req days 365in smtp.csr signkey smtp.key out smtp.crt
  10.  
  11. # 将文件复制到正确的位置
  12. cp smtp.crt /etc/pki/tls/certs
  13. cp smtp.key /etc/pki/tls/private/smtp.key
  14. cp smtp.csr /etc/pki/tls/private/smtp.csr

打开 postfix 配置文件,然后添加以下参数。

  1. sudo vim /etc/postfix/main.cf
  2.  
  3. smtp_tls_security_level = may
  4. smtpd_tls_security_level = may
  5. smtp_tls_note_starttls_offer = yes
  6.  
  7. smtpd_tls_key_file =/etc/pki/tls/private/smtp.key
  8. smtpd_tls_cert_file =/etc/pki/tls/certs
  9. smtp_tls_CAfile =/etc/ssl/certs/ca.crt
  10. smtp_tls_loglevel =1

安全级别“may”意味着宣告对远程 SMTP 客户端上的 STARTTLS 的支持,但是客户端不需要使用加密。我在这里按照 mailgun 文档提示使用“may”,但是如果你想要强制使用 TLS 加密,可以使用“encrypt”。

  1. service postfix restart
  2. # 发送一封测试邮件
  3. echo test mail | mail s “test” test@yourdomain.com && sudo tail f /var/log/maillog

你应该会看到以下信息

  1. Aug2100:00:06 vps postfix/smtp[4997]: setting up TLS connection to smtp.mailgun.org[50.56.21.176]:587
  2. Aug2100:00:06 vps postfix/smtp[4997]:Trusted TLS connection established to smtp.mailgun.org[50.56.21.176]:587:TLSv1.2with cipher AES256GCMSHA384 (256/256 bits)

如果一切正常,你可以注释掉以下参数。

“smtp_tls_loglevel = 1”

对于故障排除,我推荐你阅读 Postfix 小建议和排障命令

CentOS 6.4 下 Postfix 邮件服务安装和基本配置 http://www.linuxidc.com/Linux/2013-08/88977.htm

CentOS 5.5 下邮件服务器 Postfix 安装 http://www.linuxidc.com/Linux/2012-05/60010.htm

搭建 Red Hat Enterprise Linux 5.4 的 Postfix 邮件服务器 http://www.linuxidc.com/Linux/2012-12/77167.htm

Linux 下架构安全邮件服务器之 Postfix(认证)http://www.linuxidc.com/Linux/2012-09/70527.htm

20 个关于 Postfix 的面试题 http://www.linuxidc.com/Linux/2014-12/110061.htm

Postfix 的详细介绍:请点这里
Postfix 的下载地址:请点这里

正文完
星哥玩云-微信公众号
post-qrcode
Apache Hadoop Linux服务器 Nginx Postfix 邮件服务器 Tomcat 分布式 分布式系统 服务器 采用转发服务器增强 Postfix 邮件服务器的安全 集群
发表至: 服务器应用
2022-01-20
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-20发表,共计3422字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
Hadoop集群中的Mahout-distribution-0.7安装与配置
Apache 编译安装与做Nagios前端展示
基于memcache的缓存机制的6个指令
HDFS Append时packet的格式以及DataNode对block/checksum文件的处理
Nginx实现反向代理和负载均衡的配置及优化
KVM之实现批量创建KVM虚拟机
Ubuntu配置SVN及http模式访问
Tomcat JDBC 认证 MySQL SSL加密
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
星哥说事
星哥说事
分享互联网知识
阅读量
3461359
评论数
4
文章搜索
热门文章
基于开源MaxKB构建大语言模型的本地知识库系统

基于开源MaxKB构建大语言模型的本地知识库系统

基于开源 MaxKB 构建大语言模型的本地知识库系统 什么是 MaxKB MaxKB 是一款基于 LLM(La...
获取各大人工智能AI工具通过API和KEY调用的方法

获取各大人工智能AI工具通过API和KEY调用的方法

获取各大人工智能 AI 工具通过 API 和 KEY 调用的方法 前言 随着人工智能技术的飞速发展,AI 工具...
安装开源软件ChatALL(齐叨)来聚合各大人工智能工具

安装开源软件ChatALL(齐叨)来聚合各大人工智能工具

安装开源软件 ChatALL(齐叨)来聚合各大人工智能工具 前言 如果你跟我一样无论遇到什么问题都要询问人工智...
给你的NAS无限可能,安装小晓雅全家桶影音库

给你的NAS无限可能,安装小晓雅全家桶影音库

给你的 NAS 无限可能,安装小晓雅全家桶影音库 家庭存储和娱乐的需求日益增长。无论是高清电影、电视剧,还是音...
vmware下的网卡分配问题

vmware下的网卡分配问题

导读 vmware 虚拟机下 linux centos6.6 只有 lo,没有 eth0 网卡、随机分配 ip...
CDN
阿里云CDN-提高用户访问的响应速度和成功率
随机文章
运维监控工具zabbix概述

运维监控工具zabbix概述

一、zabbix 的特点 zabbix 是一个基于 WEB 界面的提供分布式系统监视以及网络监视功能的企业级的...
Linux:ls命令如何使用

Linux:ls命令如何使用

1、ls 命令可以在 Linux 中显示出文件和目录,如下图。当然,ls 命令不可能只能实现这么简单的操作,下...
入门MySQL数据库导入与导出及重置root密码

入门MySQL数据库导入与导出及重置root密码

如何导入和导出数据库 要导出数据库,打开终端,确保您未登录 MySQL 并键入, mysqldump -u [...
给你的NAS无限可能,安装小晓雅全家桶影音库

给你的NAS无限可能,安装小晓雅全家桶影音库

给你的 NAS 无限可能,安装小晓雅全家桶影音库 家庭存储和娱乐的需求日益增长。无论是高清电影、电视剧,还是音...
在 Linux 中如何结束进程

在 Linux 中如何结束进程

在 Linux 中有几种使用命令行或图形界面终止一个程序的方式。 进程出错的时候,您可能会想要中止或是杀掉这个...
一言一句话
-「
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中