Minimalistisches Postfix Setup

max.hesserchen max.hesserchen at proton.me
Mi Dez 11 20:57:19 CET 2024


Danke für deine Antwort!

Ich habe mir nun die Zeit genommen, auch selbst die postfix-manpages (gezielter als ich es ursprünglich gemacht habe) durchzuschauen um alles wirklich zu verstehen und habe einiges angepasst.

Zwei offene Punkte hätte ich noch:

- Alle smtp_*-Einträge kann ich mit besten Gewissen löschen - richtig?
- SMTP-Auth von Postfix habe ich bereits seit einiger Zeit deaktiviert (hatte es kurzfristig mal aktiviert), trotzdem blockt fail2ban immernoch einige Versuche weg. Ich gehe davon aus, dass die Clients einfach versuchen es zu machen und zu blöde sind zu checken das es nicht mehr deaktiviert ist - und da es trotzdem als Versuch geloggt wird, bannt fail2ban die Clients trotzdem? (ich blocke nach 2 Fehlversuchen)

SSH hab ich bereits ausreichend geschützt - aber von den Port-Knocking-Tools hab ich bisher nie was gehört... machen auf den ersten Blick aber einen sehr interessanten Eindruck! Werd ich mir überlegen.

On Tuesday, December 10th, 2024 at 10:37 PM, Gerald Galster <list+postfixbuch at gcore.biz> wrote:

>> Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt.
>>
>> Mein folgendes Setup funktioniert bereits problemlos.
>> postconf -n:
>
> Siehe Manpage zu postconf, dort steht bei der Option "-n" wie man nur Abweichungen der defaults anzeigen kann.
> Alles was aus der config entfernt wird ist nicht unbedingt weg, es wird dann einfach die Standardeinstellung verwendet.
> Standardwerte kann man mit "postconf -d" anzeigen.
>
> [...]
>
>> relayhost=
>
> siehe oben
>
>> smtp_tls_CApath = /etc/ssl/certs
>> smtp_tls_security_level = encrypt
>
> Wenn Sicherheit enorm wichtig ist, sollte man die Bedeutung jedes Parameters anhand postconf (5) nachschauen.
>
> https://www.postfix.org/postconf.5.html#smtp_tls_security_level
>
> smtp_* betrifft ausgehende Verbindungen zu anderen Mailservern, smtpd_* betrifft eingehende Verbindungen.
>
> Hier wäre level "dane" besser geeignet. In Verbindung mit einem dnssec resolver (z.B. unbound) und Anpassungen der resolv.conf (options trust-ad edns0) wären ausgehend dane-gesicherte Verbindungen möglich, mit Fallback auf encrypt. Vielleicht sind aber auch verify oder secure besser geeignet oder sogar dane-only, was die Anzahl der möglichen Kommunikationspartner derzeit aber einschränkt.
>
> [...]
>
>> smtpd_tls_security_level = encrypt
>
> https://www.postfix.org/postconf.5.html#smtpd_tls_security_level
>
> smtpd_tls_auth_only=yes wird bei level encrypt implizit gesetzt, es spielt keine Rolle ob es aus der Config entfernt wird.
>
>> smtpd_use_tls = yes
>
> https://www.postfix.org/postconf.5.html#smtpd_use_tls
>
> Das ist veraltet und wird durch smtpd_tls_security_level ersetzt.
>
>> Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert.
>> Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte.
>>
>> Jetzt frage ich mich:
>>
>> - Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann.
>> - Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige?
>> - Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden?
>
> Wenn postfix keine SMTP-Authentifizierung anbietet macht fail2ban keinen Sinn (bruteforce auf Mailaccounts ist nicht möglich).
> Es können nach wie vor Spamwellen eingehen, aber das wäre die Aufgabe eines Spamfilters, nicht fail2ban.
>
> SSH-Angriffe laufen meist sobald man den Dienst startet. In dem Fall hätte man vermutlich Ruhe wenn man irgendeinen hohen Port nutzt statt den Standardport.
> Es gibt auch Port-Knocking-Tools, die einen Port wie 22 freischalten wenn man an einem anderen Port "anklopft".
> Dann stellt sich die Frage ob man fail2ban überhaupt noch braucht - je nach Konfiguration, Art und Intensität der Angriffe kann das auch über 1GB RAM belegen.
> Weiterhin macht es Sinn die Passwort-Authentifizierung abzuschalten und ausschließlich mit SSH-Keys zu arbeiten.
>
> Sicherheit ist immer eine Abwägungssache und wenn es enorm wichtig ist, kommt man nicht umhin sich von Grund auf damit zu beschäftigen.
> Best Practices oder Empfehlungen aus Mailinglisten sind in dem Fall nur Ausgangspunkt für eigene Recherchen und Bewertung.
>
> Für spezielle Fragen ist die postfix-users Liste besser geeignet. Dort sind die Entwickler sehr aktiv, die teilweise auch an openssl mitarbeiten.
> https://www.postfix.org/lists.html
>
> Viele Grüße
> Gerald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20241211/72726189/attachment.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users