Poslední dny jsem v práci vylepšoval náš poštovní server. Následně jsem potřeboval otestovat, zda vše funguje správně a neudělal jsem někde chybu v konfiguraci. Podělím se s vámi o pár zajímavých online služeb na netu, které si dávají za cíl pořádně proklepnout váš poštovní server.
Nejprve trošku omáčky okolo aneb proč to všechno. Původně server (Centos 7) poskytoval pouze protokol SMTP (Postfix) obohacený o možnost využít TLS šifrování a IMAP (Dovecot) taktéž nabízející TLS. V případě, kdy se odesílatel nalézal v naší síti LAN, nemusel se přes SMTP nijak autentizovat. To bylo vyžadováno jedině v případě, kdy byl odesílatel mimo LAN. Autentizace byla navíc možná pouze po navázání šifrované komunikace (AUTH after TLS). Člověk by řekl, že to stačí - v dnešní době těžko.
Pak se konalo jedno sezení u piva s kolegy ajťáky, abych zjistil, že menší vylepšení nebudou vůbec náročná na pochopení a realizaci, že není třeba se tomu bránit. Šlo tehdy o Submission (port 587) a SMTP SSL (port 465) v Postfixu. Mimochodem - výchozí konfigurace už potřebná nastavení v konfiguračním souboru master.cf obsahuje, jen je odkomentovat (a pochopit samozřejmě). Taky se nabízelo povolení IMAP SSL (port 993). Ruku v ruce tomuto jsem zrušil možnost vybírat si přes IMAP poštu nešifrovaně, takže TLS a SSL jsou teď jediné možné volby. Ono je to trošku složitější, protože před Dovecotem mám předřazený Nginx jako reverzní proxy nejen pro HTTP a HTTPS, ale i pro IMAP. Na stejném stroji běží webmail Roundcube, takže zbývalo vyřešit, jak se má přihlašovat k IMAPu nešifrovaně, protože v rámci localhostu mi TLS/SSL přijde jako zbytečná režie navíc. To už mám taky vyřešeno. Takže jak si otestovat, zda jsem někde neudělal chybu? :-)
Prvním doporučeným nástrojem je SSL-Tools.net - zkontroluje, zda je váš poštovní server dostupný i přes šifrované spojení. Kontroluje platnost serverového certifikátu, jestli nemáte povoleny nějaké zastaralé (až nebezpečné) šifry, zda není server zranitelný proti Heartbleed útoku aj. Velmi šikovný nástroj, u kterého jsem strávil nějakou chvilku, než jsem vše dostal do vyhovující podoby.
Pefektní služba je EmailSecurityGrader.com - provádí poměrně komplexní analýzu zabezpečení serveru. Svěřený firemní server dosáhl 98 %, což určitě není zlé. Taky to ale chvilku trvalo.
Další šikovný nástroj je MXToolBox.com - zkontroluje váš MX záznam v DNS, poskytuje základní diagnostiku poštovního serveru jako kontrolu reverzního DNS záznamu, validní DNS hostname, podporu TLS, Open Relay test (jestli nejste otevřeni spammerům), spočítá transakční čas a zkontroluje blacklisty. Fajn služba.
Reputaci vašeho poštovního serveru vám prozradí Talosintelligence.com (dříve Senderbase.org) - je tam nějaká základní kontrola blacklistů. Zatím asi nejdůkladnější kontrola blacklistů/whitelistů, kterou znám, sídlí na adrese multirbl.valli.org. Rozhodně doporučuji čas od času projet.
Doplním ještě pěkný SSL/TLS Security Tester - Immuniweb.com/ssl, který rozhodně stojí za pozornost a vyzkoušení.
Pokud máte vše nastaveno a zkontrolováno, můžete si zkusit zaslat nějaký reálný e-mail z vaší domény do Mail-Testeru a uvidíte, jak si stojíte z pohledu spamu. Služba má integrovánu kontrolu Spamassassinu, který zkontroluje SPF záznam, DKIM podpis a podobné. Také velmi užitečná věc.
Dobrý způsob, jak si otestovat, zda je vaše nastavení dostatečné a v pořádku, je zaslat pokusný e-mail do vašeho účtu u Gmailu, viz článek minule. A když vyhovuje Googlu, musím vyhovovat všem! :-)
štítky: bezpečnost DKIM postfix šifrování spam spamassassin SPF SSL TLS
10668x přečteno
Copyright © 2015-2024 SOCL.cz, RSS 2.0
Všechna práva vyhrazena, nebo tak nějak.