10.2. Options de configuration de Postfix pour limiter les attaques DoS
Un attaquant peut inonder le serveur de trafic ou envoyer des informations qui déclenchent une panne, provoquant ainsi une attaque par déni de service (DoS). Vous pouvez configurer votre système pour réduire le risque de telles attaques en définissant des limites dans le fichier /etc/postfix/main.cf
. Vous pouvez modifier la valeur des directives existantes ou ajouter de nouvelles directives avec des valeurs personnalisées dans le format <directive> = <value>.
Utilisez la liste suivante de directives pour limiter une attaque DoS :
- smtpd_client_connection_rate_limit
-
Cette directive limite le nombre maximum de tentatives de connexion qu'un client peut faire à ce service par unité de temps. La valeur par défaut est
0
, ce qui signifie qu'un client peut effectuer autant de connexions par unité de temps que Postfix peut en accepter. Par défaut, la directive exclut les clients des réseaux de confiance. - unité_de_taux_de_temps_de_l'enclume
-
Cette directive indique l'unité de temps utilisée pour calculer la limite de vitesse. La valeur par défaut est
60
seconds. - smtpd_client_event_limit_exceptions
- Cette directive exclut les clients des commandes de connexion et de limitation de débit. Par défaut, la directive exclut les clients des réseaux de confiance.
- smtpd_client_message_rate_limit
- Cette directive définit le nombre maximal de livraisons de messages du client à la demande par unité de temps (que Postfix accepte ou non ces messages).
- limite_de_processus_par_défaut
-
Cette directive définit le nombre maximal par défaut de processus enfants Postfix qui fournissent un service donné. Vous pouvez ignorer cette règle pour des services spécifiques dans le fichier
master.cf
. Par défaut, la valeur est100
. - queue_minfree
-
Cette directive définit l'espace libre minimum requis pour recevoir du courrier dans le système de fichiers de la file d'attente. Elle est actuellement utilisée par le serveur SMTP Postfix pour décider s'il accepte ou non du courrier. Par défaut, le serveur SMTP Postfix rejette les commandes
MAIL FROM
lorsque l'espace libre est inférieur à 1,5 fois la valeurmessage_size_limit
. Pour spécifier une limite minimale d'espace libre plus élevée, spécifiez une valeurqueue_minfree
qui est au moins 1,5 fois la valeurmessage_size_limit
. Par défaut, la valeurqueue_minfree
est0
. - limite_de_taille_de_l'en-tête
-
Cette directive définit la quantité maximale de mémoire en octets pour le stockage d'un en-tête de message. Si l'en-tête est trop volumineux, le système rejette l'en-tête excédentaire. Par défaut, la valeur est de
102400
bytes. - limite_de_taille_du_message
-
Cette directive définit la taille maximale d'un message, y compris les informations de l'enveloppe, en octets. Par défaut, la valeur est de
10240000
bytes.