La mia configurazione di Postfix e Dovecot è sicura?

Naviga le tue risposte
1

Oggi ho configurato il mio primo server con Dovecot e Postfix.

Questi sono estratti dai file di configurazione:

Dovecot: 

disable_plaintext_auth = yes
ssl = required
ssl_prefer_server_ciphers = yes
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
ssl_protocols = !SSLv2 !SSLv3
ssl_cert = /etc/dovecot/private/4096-rsa-public.crt
ssl_key = /etc/dovecot/private/4096-rsa-private.key
login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"
protocols = imap sieve

Postfix: 

tls_ssl_options = NO_COMPRESSION
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
tls_preempt_cipherlist = yes  
; Outgoing connections
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3
; smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
; smtp_tls_mandatory_ciphers = high
smtp_tls_cert_file = /etc/postfix/private/4096-rsa-public.crt
smtp_tls_key_file = /etc/postfix/private/4096-rsa-private.key
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_loglevel = 1  
; Incoming connections
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3
; smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
; smtpd_tls_mandatory_ciphers = high
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_cert_file = /etc/postfix/private/4096-rsa-public.crt
smtpd_tls_key_file = /etc/postfix/private/4096-rsa-private.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1

Puoi individuare le impostazioni mancanti obbligatorie per la sicurezza?

Le connessioni IMAP dovrebbero essere il più sicure possibili, le connessioni SMTP dovrebbero anche essere il più sicure possibili, ma non voglio rifiutare le email da mittenti che non supportano TLS.

    
posta Ben Richard 05.12.2014 - 17:36
fonte

1 risposta

1

Per quanto riguarda la crittografia, la configurazione postfix e dovecot è stata sufficiente per inviare e ricevere e-mail, in particolare la configurazione relativa alla crittografia. La tua configurazione SSL è stata sufficientemente sicura da garantire il trasporto email quando viaggi da e verso il tuo server .

Ad ogni modo, nella domanda non specifichi come il tuo MTA gestisce il client di posta. Per questo, è necessario forzare il client di posta a passare attraverso la crittografia. Per postfix, impostare smtpd_tls_security_level = encrypt per la porta di invio dovrebbe essere sufficiente.

Sei ancora a metà strada per rendere sicuro il server di posta pubblico, poiché le specifiche precedenti di SMTP non erano progettate per la sicurezza. Devi pensare a proteggere dall'e-mail dannosa

  • Per quanto riguarda la posta in uscita, è necessario proteggere il server di posta così (1) non diventerà un relay aperto (per fortuna il tuo commento su smtpd_recipient_resctriction indica che non diventerai un relay aperto). Un'altra preoccupazione è (2) che lo spammer ha dirottato il tuo utente / password (tramite phising o password debole) e iniziare a pompare spam dal server o (3) il web / server è stato compromesso e lo spammer considera il tuo mail server come spam bot. Molte domande su SO e SF riguardano questa roba:)

  • Per quanto riguarda le e-mail in arrivo, l'utente deve essere tenuto al sicuro da spam, e-mail dannose, phishing e altre minacce che utilizzano l'e-mail come vettore. Puoi impostare SPF, DKIM add-on su postfix per aiutarlo a combattere lo spoofing delle email. Spam e virus possono anche essere filtrati tramite filtro del contenuto esterno da postfix.

risposta data 19.01.2015 - 03:18
fonte

Leggi altre domande sui tag

Una chiave privata dovrebbe essere protetta da una password anche se il software che lo utilizza ha bisogno di conoscere quella password? Come configurare l'infrastruttura di routing in modo che il traffico di rete appropriato venga passato alla macchina honeypot (windows xp)