第 10 章 保护 Postfix 服务download PDF Postfix 是一个邮件传输代理 (MTA),它使用简单邮件传输协议 (SMTP) 在不同的 MTA 间发送电子信息,并向电子邮件客户端或传输代理发送电子邮件。虽然 MTA 可以在不同代理间加密流量,但在默认情况下不会进行加密。您还可以通过将设置改为更安全的值来降低各种攻击的风险。 10.1. 减少 Postfix 网络相关的安全风险 要降低攻击者通过网络对系统进行攻击的风险,请尽可能多地执行以下任务。 不要在网络文件系统 (NFS) 共享卷上共享 /var/spool/postfix/ mail spool 目录。NFSv2 和 NFSv3 不维护对用户和组 ID 的控制。因此,如果两个或多个用户具有相同的 UID,则他们可以接收和读取彼此的邮件,这是一个安全风险。 注意 此规则不适用于使用 Kerberos 的 NFSv4,因为 SECRPC_GSS 内核模块不使用基于 UID 的身份验证。但是,为了降低安全风险,您不应该将 mail spool 目录放在 NFS 共享卷上。 为了减少 Postfix 服务器漏洞的可能性,邮件用户必须使用一个电子邮件程序来访问 Postfix 服务器。在邮件服务器上不允许 shell 帐户,并将 /etc/passwd 文件中的所有用户 shell 设置为 /sbin/nologin ( root 用户可能例外)。 为了防止 Postfix 被网络攻击,默认设置为仅侦听本地回环地址。您可以通过查看 /etc/postfix/main.cf 文件中的 inet_interfaces = localhost 行来验证这一点。这样可确保 Postfix 仅接受来自本地系统(而不是来自网络)的邮件(如 cron 作业报告)。这是默认设置,者可以保护 Postfix 免受网络攻击。要删除 localhost 限制并允许 Postfix 侦听所有接口,请将 /etc/postfix/main.cf 中的 inet_interfaces 参数设置为 all。 前一个下一个