<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><meta http-equiv="content-type" content="text/html; charset=utf-8"><div style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><div><blockquote type="cite"><div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt.</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Mein folgendes Setup funktioniert bereits problemlos.</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">postconf -n:</div></div></blockquote><div><br></div><div>Siehe Manpage zu postconf, dort steht bei der Option "-n" wie man nur Abweichungen der defaults anzeigen kann.</div><div>Alles was aus der config entfernt wird ist nicht unbedingt weg, es wird dann einfach die Standardeinstellung verwendet.</div><div>Standardwerte kann man mit "postconf -d" anzeigen.</div><div><br></div><div>[...]</div><blockquote type="cite"><div><div style="background-color: rgb(255, 255, 255);"><span style="font-family: Arial, sans-serif; font-size: 14px;">relayhost=</span></div></div></blockquote><div><br></div><div>siehe oben</div><br><blockquote type="cite"><div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">smtp_tls_CApath = /etc/ssl/certs</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">smtp_tls_security_level = encrypt</div></div></blockquote><div><br></div><div>Wenn Sicherheit enorm wichtig ist, sollte man die Bedeutung jedes Parameters anhand postconf (5) nachschauen.</div><div><br></div><div>https://www.postfix.org/postconf.5.html#smtp_tls_security_level</div><div><br></div><div>smtp_* betrifft ausgehende Verbindungen zu anderen Mailservern, smtpd_* betrifft eingehende Verbindungen.</div><div><br></div><div>Hier wäre level "dane" besser geeignet. In Verbindung mit einem dnssec resolver (z.B. unbound) und Anpassungen der resolv.conf (options trust-ad edns0) wären ausgehend dane-gesicherte Verbindungen möglich, mit Fallback auf encrypt. Vielleicht sind aber auch verify oder secure besser geeignet oder sogar dane-only, was die Anzahl der möglichen Kommunikationspartner derzeit aber einschränkt.</div><div><br></div>[...]<br><blockquote type="cite"><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">smtpd_tls_security_level = encrypt</div></blockquote><div><br></div><div>https://www.postfix.org/postconf.5.html#smtpd_tls_security_level</div><div><br></div><div>smtpd_tls_auth_only=yes wird bei level encrypt implizit gesetzt, es spielt keine Rolle ob es aus der Config entfernt wird.</div><br><blockquote type="cite"><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">smtpd_use_tls = yes</div></blockquote><div><br></div><div>https://www.postfix.org/postconf.5.html#smtpd_use_tls</div><div><br></div><div>Das ist veraltet und wird durch smtpd_tls_security_level ersetzt.</div><div><br></div><div><br></div><blockquote type="cite"><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert.</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich  die Komplexität niedrig halten möchte.</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);">Jetzt frage ich mich:</div><div style="font-family: Arial, sans-serif; font-size: 14px; background-color: rgb(255, 255, 255);"><ul style="margin-top: 0px; margin-bottom: 0px;" data-editing-info="{"orderedStyleType":1,"unorderedStyleType":1}"><li style="list-style-type: disc;">Gibt es unnötige Konfiguration die ich rausschmeißen kann? <i>relayhost = </i>und <span style="background-color: rgb(255, 255, 255);"><i>smtpd_tls_auth_only = yes</i> wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann.</span></li><li style="list-style-type: disc;"><span style="background-color: rgb(255, 255, 255);">Gibt es  weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige?</span></li><li style="list-style-type: disc;"><span style="background-color: rgb(255, 255, 255);">Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden?</span></li></ul></div></blockquote><br></div><div>Wenn postfix keine SMTP-Authentifizierung anbietet macht fail2ban keinen Sinn (bruteforce auf Mailaccounts ist nicht möglich).</div><div>Es können nach wie vor Spamwellen eingehen, aber das wäre die Aufgabe eines Spamfilters, nicht fail2ban.</div><div><br></div><div>SSH-Angriffe laufen meist sobald man den Dienst startet. In dem Fall hätte man vermutlich Ruhe wenn man irgendeinen hohen Port nutzt statt den Standardport.</div><div>Es gibt auch Port-Knocking-Tools, die einen Port wie 22 freischalten wenn man an einem anderen Port "anklopft".</div><div>Dann stellt sich die Frage ob man fail2ban überhaupt noch braucht - je nach Konfiguration, Art und Intensität der Angriffe kann das auch über 1GB RAM belegen.</div><div>Weiterhin macht es Sinn die Passwort-Authentifizierung abzuschalten und ausschließlich mit SSH-Keys zu arbeiten.</div><div><br></div><div>Sicherheit ist immer eine Abwägungssache und wenn es enorm wichtig ist, kommt man nicht umhin sich von Grund auf damit zu beschäftigen.</div><div>Best Practices oder Empfehlungen aus Mailinglisten sind in dem Fall nur Ausgangspunkt für eigene Recherchen und Bewertung.</div><div><br></div><div>Für spezielle Fragen ist die postfix-users Liste besser geeignet. Dort sind die Entwickler sehr aktiv, die teilweise auch an openssl mitarbeiten.</div><div>https://www.postfix.org/lists.html</div><div><br></div><div>Viele Grüße</div><div>Gerald</div><div><br></div></div></body></html>