5分間でPostfixのセキュリティを少し向上させる

2016/01/25 オープンソース

postfix-security-01
一昔前はsendmailが良く利用されていました。メールを送信するためのサーバ側プログラム(通常 Mail Transfer Agentの頭文字を取ってMTAを呼ばれます)。このsendmailの設定ファイルであるsendmail.cfは、見ても意味が分からず、設定を変更するたびに、このcfを作り直す必要があり、とても手間がかかるMTAです。

スポンサーリンク


しかし、このところの流れとして、MTAのスタンダードはsendmailからPostfixに変わっています。postfixの良さ、それは設定ファイルがわかりやすく、何より使い勝手が良い。
qmailも良いと思いますが、あの変わった設定ファイルの配置などを考えると、これから利用するにはやや抵抗があります。

1.Postfixのセキュリティ

Postfixは、弊社ではMTAを導入するときは、ほぼ100%の割合で選択しています。
情報も豊富なので、世の中的にもそうなんだろうと考えています。
そんなPostfixですが、MTAという性質上、しっかりとセキュリティ対策を行っていないと、簡単にスパムの中継を行ってしまったりするので、要注意。
ここでは、簡単な設定で少しだけセキュリティをアップできる、そんな設定を紹介します。

2.環境

環境はLinux/unixなど、postfixは基本的にパッケージから導入したものを前提としています。
postfixの設定ファイルはmain.cfになります。
パッケージからインストールした場合は、/etc/postfix以下に配置されます。
細かいコマンドは割愛して、勘所だけ。

3.設定手順

テキストエディタで、main.cfを開き、main.cfの一番下の行に以下の記載を行います。

次いでにsmtpd_bannerディレクティブを探して以下のように変更しておきます。

その後、postfixから設定ファイルを読み込み

設定ファイルの内容を確認

で追加した項目が表示されることを確認してください。
念のためメールログも閲覧して、正常にメールが配送されていることが確認できれば設定完了です。
上記設定がどのような内容か、簡単に書いておきます。
disable_vrfy_command=yes はSMTPプロトコルで利用されるvrfyコマンドを無効にします。
これが有効になっているとユーザーが実在するか、そうでないかがわかるというもの。
smtpd_helo_required = yes はSMTPプロトコルのやり取りでheloを要求するという設定。
SPAMを配送するようなbotやワームはheloを利用しない場合が多いので、そういったシステムに有効です。
smtpd_banner = $myhostname ESMTP $mail_name unknownはMTAのバージョンを隠匿する設定です。
サービスがバージョンによって持っている脆弱性を探られにくくします。
その他にもいくつか設定したい項目がありますが、簡単にできるものをピックアップしました。

これで少し枕を高くして眠れそうですよね。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

oss-apache

攻撃を受ける前に! Apache インストール後に必要な8つの変更点

Apacheはウェブサーバーの代表的なアプリケーションで、現在、動作しているウェブサーバーでのシ

squid-ie6-problem

プロキシサーバー経由でファイルがダウンロード出来ない問題への対応

先日、弊社のお客様より、ブラウザを利用して大きい容量のファイルがダウンロードできないというお問い

oss-awstats

シンプルなアクセス解析が出力できるオープンソースソフトウェア awstats

Webサイトのアクセス解析というと、今はGoogle Analytics を利用しているユーザー

oss-bind

bind ゾーンファイル “already in use” エラーの対応方法

このところネームサービスとして代表的なアプリケーションである"bind"のセキュリティホールが多

450-smtp-error

SMTP 450 Client host rejected: cannot find your hostname エラー

SMTPのスパム対策はスパマーとブロックする側の鬩ぎあいが続いています。ブロックする側は当然スパ

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク