Postfix, configuration finale, pour commentaires SVP

jhfra · Août 30, 2019, 4:13pm

Hello, après plusieurs semaines à faire des tests et lire docs, je suis arrivé à une configuration qui me semble propre et que je projette de passer en prod.

Tout est fonctionnel, ça répond bien, ça fait exactement ce que je veux et comme je le veux. J’ai passé un coup de lynis aussi pour complément d’audit et pour finir, j’accouche de la configuration suivante, basée sur : postfix - mysql - dovecot - rspamd - clamav - postscreen - sieve - redis.
Tout est protégé derrière des règles nftables, couplé à fail2ban qui veille (postfix, dovecot, etc…).

Côté DNS, tout est fait pour SPF, Dmarc, DKIM pour ce que j’émets.

Je souhaiterais connaître votre avis sur ma conf finale, y-a-t’il des choses à améliorer ? Des erreurs que je n’aurais pas vu ?

Merci pour vos retours (je ne mets pour le coup que la partie postfix, sinon il faudrait un tuto complet pour tout le reste) :

main.cf :

smtp_tls_loglevel                       = 1
smtp_tls_security_level                 = may
smtp_tls_CAfile                         = /etc/ssl/certs/ca-certificates.crt
smtp_tls_protocols                      = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols            = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers              = high
smtp_tls_exclude_ciphers                = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
smtp_tls_note_starttls_offer            = yes

smtpd_use_tls                           = yes
smtpd_tls_loglevel                      = 1
smtpd_tls_auth_only                     = yes
smtpd_tls_security_level                = may
smtpd_tls_received_header               = yes
smtpd_tls_protocols                     = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers             = high
smtpd_tls_eecdh_grade                   = strong

smtpd_tls_CAfile                        = $smtp_tls_CAfile
smtpd_tls_cert_file                     = /etc/letsencrypt/live/cert_global_domaine/fullchain.pem
smtpd_tls_key_file                      = /etc/letsencrypt/live/cert_global_domaine/privkey.pem
smtpd_tls_dh1024_param_file             = $config_directory/dh4096.pem
smtpd_tls_dh512_param_file              = $config_directory/dh512.pem

tls_preempt_cipherlist                  = yes
tls_ssl_options                         = no_ticket, no_compression

smtpd_sasl_type                         = dovecot
smtpd_sasl_path                         = private/auth
smtpd_sasl_auth_enable                  = yes
smtpd_sasl_security_options             = noanonymous
smtpd_sasl_local_domain                 = $myhostname
smtpd_sasl_authenticated_header         = yes

tls_preempt_cipherlist                  = yes
tls_random_source                       = dev:/dev/urandom

smtp_tls_session_cache_database         = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database        = btree:${data_directory}/smtpd_scache
lmtp_tls_session_cache_database         = btree:${data_directory}/lmtp_scache

#smtpd_banner                            = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner                            = $myhostname ESMTP
compatibility_level                     = 2
biff                                    = no
append_dot_mydomain                     = no
readme_directory                        = no
delay_warning_time                      = 4h
mailbox_command                         = procmail -a "$EXTENSION"
recipient_delimiter                     = +
disable_vrfy_command                    = yes
show_user_unknown_table_name            = no
message_size_limit                      = 4096000
mailbox_size_limit                      = 0
allow_percent_hack                      = no
swap_bangpath                           = no
smtpd_helo_required                     = yes
strict_rfc821_envelopes                 = yes
myhostname                              = mail.domaine.org
mydomain                                = domaine.org
myorigin                                = $myhostname
mydestination                           = $myhostname, mail, localhost.localdomain, localhost

notify_classes                          = bounce, delay, resource, software
error_notice_recipient                  = root
delay_notice_recipient                  = root
bounce_notice_recipient                 = root

inet_interfaces                         = all
inet_protocols                          = ipv4

mynetworks                              = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
relayhost                               =

alias_maps                              = hash:/etc/aliases
alias_database                          = hash:/etc/aliases

virtual_uid_maps                        = static:5000
virtual_gid_maps                        = static:5000
virtual_minimum_uid                     = 5000
virtual_mailbox_base                    = /var/mail
virtual_transport                       = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains                 = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps                    = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps                      = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

#### RSPAMD ####
policyd-spf_time_limit                  = 3600s
milter_protocol                         = 6
milter_default_action                   = accept
smtpd_milters                           = inet:localhost:11332
non_smtpd_milters                       = inet:localhost:11332
milter_mail_macros                      = i {mail_addr} {client_addr} {client_name} {auth_authen}

#### POSTSCREEN ####
postscreen_access_list                  = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action             = drop
postscreen_dnsbl_sites                  =
       zen.spamhaus.org*2,
        all.s5h.net,
#        bl.spamcop.net,
#        b.barracudacentral.org*2
postscreen_dnsbl_threshold              = 3
postscreen_dnsbl_action                 = drop

#### RESTRICTIONS ####
smtpd_recipient_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_non_fqdn_recipient,
     reject_unauth_destination,
     reject_unknown_recipient_domain,

smtpd_helo_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_invalid_helo_hostname,
     reject_non_fqdn_helo_hostname,
     reject_unknown_helo_hostname,
     reject_unauth_pipelining

smtpd_client_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     permit_inet_interfaces,
     reject_plaintext_session,
     reject_unknown_reverse_client_hostname,
     reject_unauth_pipelining

smtpd_sender_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     check_policy_service unix:private/policyd-spf,
     reject_sender_login_mismatch,
     reject_unauth_destination,
     reject_unknown_sender_domain,
     reject_unlisted_sender,
     reject_non_fqdn_sender,
     reject_unauth_pipelining

smtpd_relay_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_unauth_destination

smtpd_data_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_multi_recipient_bounce,
     reject_unauth_pipelining

master.cf:

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master" or
# on-line: http://www.postfix.org/master.5.html).
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
#smtp      inet  n       -       y       -       -       smtpd
smtp      inet  n       -       y       -       1       postscreen
smtpd     pass  -       -       y       -       -       smtpd
dnsblog   unix  -       -       y       -       0       dnsblog
tlsproxy  unix  -       -       y       -       0       tlsproxy
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_tls_dh1024_param_file=${config_directory}/dh4096.pem
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       y       -       -       qmqpd
pickup    unix  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       y       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
retry     unix  -       -       y       -       -       error
discard   unix  -       -       y       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       y       -       1       anvil
scache    unix  -       -       y       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
policyd-spf unix -      n       n       -       -       spawn
  user=nobody argv=/usr/bin/policyd-spf

Concernant les protocoles et ciphers, je sais qu’on peut faire plus secure, mais il faut quand même garder la tête froide et avoir à l’esprit qu’il y a encore pas mal de vieux devices sur le marché, que les OS ne sont pas forcément à jour et qu’il y a beaucoup de clients mails différents et encore utilisés.

Je pars donc du principe que sur le mailing il faut être plus permissif que sur du HTTP, où là, on peut encourage/forcer plus facilement l’utilisateur à migrer sur un OS/Navigateur récent (et là par contre, concernant le choix des protocoles et ciphers, je vise le A+ pour mes serveurs web sur sslabs, à titre de comparaison).

N’hésitez pas à commenter, poser vos questions.

Cette conf est basée sur Debian 10 et s’adresse à un serveur de mail ouvert au publique (j’ai pour le moment 16000 comptes, mais il y en aura 20000 à terme).

Ça tourne sur une VM avec 8G de RAM et 4 vcpus de 3.3 ghz, sur un hyperviseur KVM.

anon70622873 · Août 30, 2019, 11:57am

Bonjour,

Pour la configuration TLS, l’outil de mozilla est bien pratique :
https://ssl-config.mozilla.org

Sinon, puisque dovecot est installé pourquoi ne pas l’utiliser pour délivrer les courriels à la place de procmail ?

Et aussi, pourquoi si peu de sites dnsbl dans la configuration de postscreen, et pourquoi avoir commenté spamcop et barracudacentral ?

jhfra · Août 30, 2019, 12:18pm

Hello,

Alors je me suis effectivement basé sur les reco ssl de mozilla, puis j’ai tuné un peu en m’appuyant sur les résultats de CryptCheck.

Concernant Dovecot en lieu et place de Procmail, bonne question, mais quels seraient les avantages par rapport à la méthode actuelle ?

J’ai commenté spamcop et barracudacentral car plus il y a de RBL à checker, plus le temps de délivrabilité du mail augmente (puisqu’on doit attendre une réponse du RBL à chaque fois). Quand on traite une cinquantaine de mails par jours, la question ne se pose pas, mais j’ai un prévisionnel qui se compte en dizaine de milliers de mails, du coup je dois prendre en compte ce calcul.
Maintenant, le choix des RBL restants n’est peut-être pas le meilleurs, je n’arrive pas à retrouver le site qui référence les RBL par performance, j’avais un truc comme ça sous la main il y a quelque temps c’était bien pratique.

anon70622873 · Septembre 2, 2019, 7:46am

Si dovecot est installé pour gérer les comptes imap/pop autant se servir de dovecot LDA (ou LMTP) plutôt que de rajouter une couche de configuration avec procmail. Et dovecot permet de faire tout un tas de choses intéressantes : gestion des quotas, gestion des scripts sieve, etc.

C’est à voir.
postscreen permet de bloquer les spammeurs avérés avant même qu’ils n’entament une transaction SMTP. Les résultats des vérifications faites par postscreen sont conservés en mémoire pendant un certain temps (configurable cf. man postscreen) et ne sont donc pas effectuées à chaque connexion.
Au final je pense qu’avec les bon réglages cela diminue la charge de postfix en bloquant préventivement les robots spammeurs.

Question subsidiaire : pourquoi restreindre à IPv4 ?

jhfra · Septembre 16, 2019, 9:31am

Hello,

Merci pour ce retour, j’étais en congés et n’ai pas pu répondre avant.

Pour te répondre :

Si dovecot est installé pour gérer les comptes imap/pop autant se servir de dovecot LDA (ou LMTP) plutôt que de rajouter une couche de configuration avec procmail . Et dovecot permet de faire tout un tas de choses intéressantes : gestion des quotas, gestion des scripts sieve , etc.

Ce que tu sous entends suggère qu’il y a un truc qui ne va pas dans ma conf du coup, puisque j’utilise déjà dovecot LMTP pour les scripts Sieve et les quotas.

C’est à voir.
postscreen permet de bloquer les spammeurs avérés avant même qu’ils n’entament une transaction SMTP. Les résultats des vérifications faites par postscreen sont conservés en mémoire pendant un certain temps (configurable cf. man postscreen) et ne sont donc pas effectuées à chaque connexion.
Au final je pense qu’avec les bon réglages cela diminue la charge de postfix en bloquant préventivement les robots spammeurs.

Ok, du coup ça change un peu la donne pour moi, je fais procéder à des tests, effectivement si ça peut soulager postfix, moi ça me va.

Question subsidiaire : pourquoi restreindre à IPv4 ?

Pour le moment, nous ne faisons pas d’IPv6 et je n’ai encore pas eu le temps de me pencher sur la question. C’est vrai qu’il faudra y passer, mais pour le moment, j’en suis encore loin.