以下是Ubuntu邮件服务器的安全设置方法:
-
系统更新与补丁管理
定期更新系统和软件包,安装安全补丁:sudo apt update && sudo apt upgrade sudo apt full-upgrade # 包含内核更新 -
防火墙配置(UFW)
- 安装并启用UFW:
sudo apt install ufw sudo ufw enable - 允许必要端口(SMTP/IMAP/POP3等):
sudo ufw allow 25/tcp # SMTP sudo ufw allow 143/tcp # IMAP sudo ufw allow 110/tcp # POP3 sudo ufw allow 465/tcp # SMTPS sudo ufw allow 993/tcp # IMAPS sudo ufw allow 995/tcp # POP3S - 可选:限制特定IP访问。
- 安装并启用UFW:
-
加密通信(SSL/TLS)
- 生成或获取SSL证书(如Let’s Encrypt),配置Postfix和Dovecot使用证书:
sudo apt install certbot python3-certbot-postfix sudo certbot --postfix -d yourdomain.com - 编辑配置文件(
/etc/postfix/main.cf、/etc/dovecot/dovecot.conf)指定证书路径,启用TLS。
- 生成或获取SSL证书(如Let’s Encrypt),配置Postfix和Dovecot使用证书:
-
认证与访问控制
- 强制使用强密码,启用两步验证(如Dovecot的
auth_mechanisms配置)。 - 配置SPF、DKIM、DMARC防止邮件伪造:
- 安装OpenDKIM,生成密钥并添加DNS记录。
- 强制使用强密码,启用两步验证(如Dovecot的
-
防垃圾邮件与病毒
- 安装SpamAssassin过滤垃圾邮件:
sudo apt install spamassassin sudo systemctl enable spamassassin - 安装ClamAV扫描病毒:
sudo apt install clamav sudo freshclam # 更新病毒库
- 安装SpamAssassin过滤垃圾邮件:
-
日志监控与备份
- 启用日志记录(如Postfix的
mail.log),定期分析异常。 - 定期备份邮件数据(如使用
rsync或duplicity)。
- 启用日志记录(如Postfix的
-
强化SSH安全(管理访问)
- 禁用root登录,使用密钥认证,修改默认端口:
sudo nano /etc/ssh/sshd_config # 设置:PermitRootLogin no # 添加:PubkeyAuthentication yes # 修改:#Port 22 → Port 2222(自定义端口) sudo systemctl restart sshd
- 禁用root登录,使用密钥认证,修改默认端口:
-
文件权限管理
确保邮件相关文件和目录权限正确(如/var/mail/仅允许必要用户访问)。
参考来源:[1,2,3,4,5,6,7,8,9,10]