Minimalistisches Postfix Setup

Gerald Galster list+postfixbuch at gcore.biz
Di Dez 10 23:37:07 CET 2024 

> Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt.
> 
> Mein folgendes Setup funktioniert bereits problemlos.
> postconf -n:

Siehe Manpage zu postconf, dort steht bei der Option "-n" wie man nur Abweichungen der defaults anzeigen kann.
Alles was aus der config entfernt wird ist nicht unbedingt weg, es wird dann einfach die Standardeinstellung verwendet.
Standardwerte kann man mit "postconf -d" anzeigen.

[...]
> relayhost=

siehe oben

> smtp_tls_CApath = /etc/ssl/certs
> smtp_tls_security_level = encrypt

Wenn Sicherheit enorm wichtig ist, sollte man die Bedeutung jedes Parameters anhand postconf (5) nachschauen.

https://www.postfix.org/postconf.5.html#smtp_tls_security_level

smtp_* betrifft ausgehende Verbindungen zu anderen Mailservern, smtpd_* betrifft eingehende Verbindungen.

Hier wäre level "dane" besser geeignet. In Verbindung mit einem dnssec resolver (z.B. unbound) und Anpassungen der resolv.conf (options trust-ad edns0) wären ausgehend dane-gesicherte Verbindungen möglich, mit Fallback auf encrypt. Vielleicht sind aber auch verify oder secure besser geeignet oder sogar dane-only, was die Anzahl der möglichen Kommunikationspartner derzeit aber einschränkt.

[...]
> smtpd_tls_security_level = encrypt

https://www.postfix.org/postconf.5.html#smtpd_tls_security_level

smtpd_tls_auth_only=yes wird bei level encrypt implizit gesetzt, es spielt keine Rolle ob es aus der Config entfernt wird.

> smtpd_use_tls = yes

https://www.postfix.org/postconf.5.html#smtpd_use_tls

Das ist veraltet und wird durch smtpd_tls_security_level ersetzt.


> 
> Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert.
> Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte.
> 
> Jetzt frage ich mich:
> Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann.
> Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige?
> Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden?

Wenn postfix keine SMTP-Authentifizierung anbietet macht fail2ban keinen Sinn (bruteforce auf Mailaccounts ist nicht möglich).
Es können nach wie vor Spamwellen eingehen, aber das wäre die Aufgabe eines Spamfilters, nicht fail2ban.

SSH-Angriffe laufen meist sobald man den Dienst startet. In dem Fall hätte man vermutlich Ruhe wenn man irgendeinen hohen Port nutzt statt den Standardport.
Es gibt auch Port-Knocking-Tools, die einen Port wie 22 freischalten wenn man an einem anderen Port "anklopft".
Dann stellt sich die Frage ob man fail2ban überhaupt noch braucht - je nach Konfiguration, Art und Intensität der Angriffe kann das auch über 1GB RAM belegen.
Weiterhin macht es Sinn die Passwort-Authentifizierung abzuschalten und ausschließlich mit SSH-Keys zu arbeiten.

Sicherheit ist immer eine Abwägungssache und wenn es enorm wichtig ist, kommt man nicht umhin sich von Grund auf damit zu beschäftigen.
Best Practices oder Empfehlungen aus Mailinglisten sind in dem Fall nur Ausgangspunkt für eigene Recherchen und Bewertung.

Für spezielle Fragen ist die postfix-users Liste besser geeignet. Dort sind die Entwickler sehr aktiv, die teilweise auch an openssl mitarbeiten.
https://www.postfix.org/lists.html

Viele Grüße
Gerald

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20241210/8d579066/attachment.htm>

Mehr Informationen über die Mailingliste Postfixbuch-users