采用转发服务器增强 Postfix 邮件服务器的安全

393次阅读

共计 3422 个字符，预计需要花费 9 分钟才能阅读完成。

当你启动并运行应用服务器后，你就需要一台好的邮件服务器来为你传递邮件。我为我所有的服务器开通了 Postfix 邮件服务，下面就是我常用的配置。

默认安装了 Sendmail，所以最好将它停掉并移除。

Postfix 包含了 两个配置文件 main.cf 和 master.cf，对于基本的配置，你需要修改 main.cf。同时，postfix 可以像 shell 变量一样定义参数，并通过 $ 来调用。这些参数不需要再使用前定义，Postfix 只在运行中需要时才会查询某个参数。

去掉以下行的注释

启动 postfix

这些基本的 postfix 配置可以让你的机器发送邮件，你可以通过发送邮件并检查“maillog”日志文件来验证。

echo test mail | mail –s “test” leo@techarena51.com && sudo tail –f /var/log/maillog
# 输出的日志类似如下
Aug2514:16:21 vps postfix/smtp[32622]: E6A372DC065D: to=, relay=smtp.mailserver.org[50.56.21.176], delay=0.8, delays=0.1/0/0.43/0.27, dsn=2.0.0, status=sent (250Great success)
Aug2514:16:21 vps postfix/qmgr[5355]: E6A372DC065D: removed

但是，上述配置并不够，因为邮件服务大多数时候都会被垃圾邮件挤满，你需要添加 SPF、PTR 和 DKIM 记录。即便如此，你的邮件仍然可能被当作垃圾邮件来投递，因为你的 IP 地址被列入了黑名单，大多数时候是因为你的 vps 先前被入侵了。

还有另外一种选择，或者说是更好的方式是使用第三方邮件提供商提供的邮件服务，如 Gmail，或者甚至是 Mailgun。我使用 Mailgun，因为它们提供了每个月 10000 封免费电子邮件，而 Gmail 则提供了每天 100 封左右的邮件。

在“/etc/postfix/main.cf”中，你需要添加“smtp.mailgun.com”作为你的“转发主机”，并启用“SASL”验证，这样 postfix 就可以连接并验证到远程 Mailgun 服务器。

添加或取消以下行的注释。

Postfix 本身不会实施“SASL”验证，因此你需要安装“cyrus-sasl-plain”。

如果你不安装此包，那么你就会收到这条错误信息“SASL authentication failed; cannot authenticate to server smtp.mailgun.org[50.56.21.176]: no mechanism available)”

重启 postfix

Postfix 支持 TLS，它是 SSL 的后继者，允许你使用基于密钥的验证来加密数据。我推荐你阅读 http://www.postfix.org/TLS_README.html，以了解 TLS 是怎么和 postfix 一起工作的。

为了使用 TLS，你需要生成一个私钥和一个由证书授权机构颁发的证书。在本例中，我将使用自颁发的证书。

打开 postfix 配置文件，然后添加以下参数。

安全级别“may”意味着宣告对远程 SMTP 客户端上的 STARTTLS 的支持，但是客户端不需要使用加密。我在这里按照 mailgun 文档提示使用“may”，但是如果你想要强制使用 TLS 加密，可以使用“encrypt”。

service postfix restart
# 发送一封测试邮件
echo test mail | mail –s “test” test@yourdomain.com && sudo tail –f /var/log/maillog

你应该会看到以下信息

Aug2100:00:06 vps postfix/smtp[4997]: setting up TLS connection to smtp.mailgun.org[50.56.21.176]:587
Aug2100:00:06 vps postfix/smtp[4997]:Trusted TLS connection established to smtp.mailgun.org[50.56.21.176]:587:TLSv1.2with cipher AES256–GCM–SHA384 (256/256 bits)