在Web服务器上,我将运行rkhunter,tripwire,OSSEC,fail2ban和psad。 所有这些应用程序都需要能够发送电子邮件通知系统pipe理员。
所以,我已经:
sudo apt-get install -y mailutils postifx 然后,我configuration了postfix来捕获发送到root @ localhost的邮件,并将这些邮件发送到[email protected]:
sudo nano /etc/aliases
而且我添加了这个别名(在postmaster: root之后postmaster: root ):
root: [email protected]
我已经允许端口25 / TCP的传出stream量(因为我的默认UFW政策是在input,输出和FORWARD的DROP)
sudo ufw allow out 25/tcp
我现在只能发送电子邮件,而且我将仅使用postifx /邮件列出上述应用程序,而我将使用PHPMailer作为Web应用程序本身(login通知,电子邮件validation,密码更改通知等)。 )。
在这一点上,我想知道:
我的后缀TLSconfiguration行:
smtp_enforce_tls=yes smtp_use_tls=yes smtp_tls_security_level=encrypt smtp_tls_mandatory_ciphers = high smtp_tls_loglevel = 1 smtp_tls_session_cache_timeout = 3600s smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache tls_random_source = dev:/dev/urandom smtpd_tls_received_header = yes smtpd_tls_loglevel = 1 smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
当前设置的安全性,防止邮件从服务器到目标邮箱的截取以及可能的披露和修改取决于服务器DNSparsing的安全性。 如果攻击者能够伪造DNS答复到您的服务器,她可以将您的邮件转移到她自己的启用TLS的SMTP服务器。 你的Postfix守护进程将logging一个证书validation失败,但无论如何传递邮件。 为了防止这种攻击,您需要使用更高级别的smtp_tls_security_level值(仅用于指示,validation,安全)和/或使用DNSSEC。
防止阻止邮件的安全性主要取决于Internet连接的可靠性和安全性,也取决于您的DNSparsing,当然还有托[email protected]邮箱的目标邮件服务器。 例如,如果目标服务器的反垃圾邮件策略过于严格,则可能会通过错误地将您的服务器报告为垃圾邮件源来阻止您的邮件。
最后但并非最不重要的是,一旦邮件被发送到[email protected]邮箱,其安全性完全取决于邮箱的安全性。 例如,如果攻击者获取该邮箱的访问凭据(通过networking钓鱼),则可以读取,删除或replace其中的任何邮件。