¿Mi configuración de Postfix y Dovecot es segura?

Question

¿Mi configuración de Postfix y Dovecot es segura?

#1 de masegaloeh (1 votos)

1

Hoy configuré mi servidor first con Dovecot y Postfix.

Estos son extractos de los archivos de configuración:

Dovecot:

disable_plaintext_auth = yes
ssl = required
ssl_prefer_server_ciphers = yes
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
ssl_protocols = !SSLv2 !SSLv3
ssl_cert = /etc/dovecot/private/4096-rsa-public.crt
ssl_key = /etc/dovecot/private/4096-rsa-private.key
login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"
protocols = imap sieve

Postfix:

tls_ssl_options = NO_COMPRESSION
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
tls_preempt_cipherlist = yes  
; Outgoing connections
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3
; smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
; smtp_tls_mandatory_ciphers = high
smtp_tls_cert_file = /etc/postfix/private/4096-rsa-public.crt
smtp_tls_key_file = /etc/postfix/private/4096-rsa-private.key
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_loglevel = 1  
; Incoming connections
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv2, !SSLv3
; smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
; smtpd_tls_mandatory_ciphers = high
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_cert_file = /etc/postfix/private/4096-rsa-public.crt
smtpd_tls_key_file = /etc/postfix/private/4096-rsa-private.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1

¿Puede detectar alguna configuración faltante obligatoria para la seguridad?

Las conexiones IMAP deben ser lo más seguras posible, las conexiones SMTP también deben ser lo más seguras posible, pero no quiero rechazar los correos de los remitentes que no admiten TLS.

tls email imap smtp starttls

pregunta Ben Richard 05.12.2014 - 17:36

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls email imap smtp starttls

Limitaciones de botnets [cerrado] Preguntas sobre exploits comunes

score 1 · Answer 1

Con respecto al cifrado, la configuración de postfix y dovecot fue lo suficientemente buena para enviar y recibir correo electrónico, especialmente la configuración relacionada con el cifrado. Su configuración SSL era lo suficientemente segura como para asegurar el transporte de correo electrónico cuando viaja desde y hacia su servidor .

De todos modos, en la pregunta no especifica cómo su MTA maneja el cliente de correo. Para eso, debes obligar al cliente de correo a pasar por el cifrado. Para postfix, establecer smtpd_tls_security_level = encrypt para el puerto de envío debería ser suficiente.

Todavía está a medio camino de proteger el servidor de correo público, ya que la especificación anterior de SMTP no fue diseñada para la seguridad. Debes pensar en protegerte de un correo electrónico malicioso

Con respecto al correo electrónico saliente, debe proteger el servidor de correo para que (1) no se convierta en retransmisión abierta (afortunadamente, su comentario sobre smtpd_recipient_resctriction indica que no se volverá retransmisión abierta). Otra preocupación es (2) el spammer secuestró su usuario / contraseña (a través de phising o contraseña débil) y comenzó a bombear spam desde el servidor o (3) la web / servidor estaba comprometida y el spammer trata a su servidor de correo como un bot de spam. Muchas preguntas sobre SO y SF tratan con estas cosas :)
Con respecto al correo electrónico entrante, el usuario debe mantenerse a salvo de spam, correo electrónico malicioso, phising y otras amenazas que utilizan el correo electrónico como vector. Puede configurar SPF, DKIM add-on para postfix para ayudarlo a luchar contra la falsificación de correos electrónicos. El spam y los virus también se pueden filtrar a través del filtro de contenido externo de postfix.