Minimalistisches Postfix Setup

[max.hesserchen]

Hi zusammen!

Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt.

Mein folgendes Setup funktioniert bereits problemlos.
postconf -n:
"
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
biff = no
compatibility_level = 3.6
disable_vrfy_command = yes
home_mailbox = Maildir/
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
milter_default_action = accept
mydestination = $myhostname mail.<meinedomain.xyz>, .<meinedomain>.<xyz>, localhost.localdomain, localhost
mydomain = <meinedomain>.<xyz>
myhostname = mail.<meinedomain>.<xyz>
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = inet:127.0.0.1:8891, unix:/var/run/opendmarc/opendmarc.sock
recipient_delimiter=+
relayhost=
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_cache
smtpd_banner = mail.<meinedomain>.<xyz> ESMTP
smtpd_discard_ehlo_keywords = silent-discard, dsn
smtpd_helo_required = yes
smtpd_milters = inet:127.0.0.1:8891, unix:/var/run/opendmarc/opendmarc.sock
smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unknown_helo_hostname, reject_unknown_client_hostname, reject_plaintext_session
smtpd_sasl_auth_enable = no
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.<meinedomain>.<xyz>/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.<meinedomain>.<xyz>/privkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphrs = aNULL, MD5
smtpd_tls_mandatory_protocols = >= TLSv1.2
smtpd_tls_security_level = encrypt
smtpd_use_tls = yes
virtual_alias_maps = hash:/etc/postfix/virtual
"
In der master.cf habe ich keine Änderungen vorgenommen.

Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert.
Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte.

Jetzt frage ich mich:

- Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann.
- Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige?
- Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden?

Danke im Voraus!
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20241207/9aa74800/attachment.htm>