4.3.10. Postfix 보안
Postfix는 SMTP(Simple Mail Transfer Protocol)를 사용하여 다른 MTA와 이메일 클라이언트 또는 전달 에이전트에 전자 메시지를 전달하는 MTA(메일 전송 에이전트)입니다. 많은 MTA가 서로 간에 트래픽을 암호화할 수 있지만 대부분은 그렇지 않으므로 공용 네트워크를 통해 이메일을 전송하는 것은 본질적으로 안전하지 않은 통신 형식으로 간주됩니다. Postfix는 Red Hat Enterprise Linux 7에서 Sendmail을 기본 MTA로 대체합니다.
Postfix 서버를 구현하려는 모든 사람이 다음 문제를 해결하는 것이 좋습니다.
4.3.10.1. 서비스 거부 공격 제한
이메일의 특성으로 인해 확인 된 공격자는 서버에서 매우 쉽게 메일로 범람하고 서비스 거부를 일으킬 수 있습니다. 이러한 공격의 효율성은
/etc/postfix/main.cf 파일에서 지시문의 제한을 설정하여 제한할 수 있습니다. 이미 있는 지시문의 값을 변경하거나 필요한 지시문을 다음 형식으로 추가할 수 있습니다.
<directive> = <value>. 다음은 서비스 거부 공격을 제한하는 데 사용할 수 있는 지시문 목록입니다.
- smtpd_client_connection_rate_limit - 클라이언트가 시간 단위마다 이 서비스를 수행할 수 있는 최대 연결 시도 수입니다(아래 설명됨). 기본값은 0이며, 이는 Postfix가 허용할 수 있으므로 클라이언트에서 시간 단위당 많은 연결을 할 수 있음을 의미합니다. 기본적으로 신뢰할 수 있는 네트워크의 클라이언트는 제외됩니다.
- anvil_rate_time_unit - 이 시간 단위는 속도 제한 계산에 사용됩니다. 기본값은 60초입니다.
- smtpd_client_event_limit_exceptions - 연결 및 속도 제한 명령에서 제외된 클라이언트입니다. 기본적으로 신뢰할 수 있는 네트워크의 클라이언트는 제외됩니다.
- nameserverd_client_message_rate_limit - 클라이언트가 시간 단위당 요청할 수 있는 최대 메시지 전송 수입니다(Postgr이 실제로 해당 메시지를 수락하는지 여부와 관계없이).
- default_process_limit - 지정된 서비스를 제공하는 Postfix 하위 프로세스의 기본 최대 수입니다. 이 제한은
master.cf파일에 있는 특정 서비스에 대해 일반화될 수 있습니다. 기본값은 100입니다. - queue_minfree - 메일 수신에 필요한 대기열 파일 시스템에서 사용 가능한 최소 공간(바이트)입니다. 이는 현재 Postfix SMTP 서버에서 사용하여 모든 메일을 허용할지 여부를 결정하는 데 사용됩니다. 기본적으로 사용 가능한 공간 크기가 message_size_limit보다 1.5배 미만인 경우 Postfix SMTP 서버는 MAIL FROM 명령을 거부합니다. 더 높은 사용 가능한 공간 제한을 지정하려면 message_size_limit를 1.5배 이상 포함하는 queue_minfree 값을 지정하십시오. 기본적으로 queue_minfree 값은 0입니다.
- header_size_limit - 메시지 헤더를 저장하기 위한 바이트 단위의 최대 메모리 양입니다. 헤더가 클 경우 초과가 삭제됩니다. 기본값은 102400입니다.
- message_size_limit - 인코딩 정보를 포함하여 메시지의 최대 크기(바이트)입니다. 기본값은 10240000입니다.
