以下是CentOS邮件服务器权限设置的关键技巧,涵盖用户、目录及服务权限管理:
-
用户权限管理
- 创建专用邮件用户(如
mailuser),设置强密码并禁止登录shell:sudo useradd -m -s /sbin/nologin mailuser sudo passwd mailuser - 为虚拟用户配置数据库(如MySQL),通过
postfix和dovecot关联认证。
- 创建专用邮件用户(如
-
目录权限设置
- 邮件存储目录(如
/var/spool/mail或用户家目录下的Maildir):- 所有者:
root或postfix,组:mail,权限:750(确保服务可读写,限制其他用户访问)。
sudo chown root:mail /var/spool/mail sudo chmod 750 /var/spool/mail - 所有者:
- 配置文件目录(如
/etc/postfix、/etc/dovecot):- 所有者:
root,组:root,权限:644(防止非授权修改)。
- 所有者:
- 邮件存储目录(如
-
服务相关权限
- Postfix:确保
/etc/postfix/main.cf中mydestination正确指向域名,启用SMTP认证(smtpd_sasl_auth_enable=yes)。 - Dovecot:配置
/etc/dovecot/dovecot.conf时,禁用明文认证(disable_plaintext_auth=yes),并设置mail_location为maildir格式。
- Postfix:确保
-
安全加固
- 启用SSL/TLS加密传输,配置证书路径(如Let’s Encrypt证书)。
- 若启用SELinux,需设置正确上下文(如
mail_spool_t)并开放必要端口:sudo chcon -R system_u:object_r:mail_spool_t:s0 /var/spool/mail sudo firewall-cmd --add-service={smtp,imap,pop3} --permanent sudo firewall-cmd --reload
-
日志与验证
- 监控
/var/log/maillog或/var/log/dovecot.log,确保权限变更后服务正常运行。 - 使用
telnet或邮件客户端测试SMTP/IMAP端口连通性(如telnet localhost 25)。
- 监控
参考来源: