Ubuntu郵件服務器安全設置方法

以下是Ubuntu郵件服務器的安全設置方法：

1. 系統更新與補丁管理
   定期更新系統和軟件包，安裝安全補?。?/p>

   sudo apt update && sudo apt upgrade  
   sudo apt full-upgrade  # 包含內核更新  
   

2. 防火墻配置（UFW）

   • 安裝并啟用UFW：

     sudo apt install ufw  
     sudo ufw enable  
     

   • 允許必要端口（SMTP/IMAP/POP3等）：

     sudo ufw allow 25/tcp   # SMTP  
     sudo ufw allow 143/tcp  # IMAP  
     sudo ufw allow 110/tcp  # POP3  
     sudo ufw allow 465/tcp  # SMTPS  
     sudo ufw allow 993/tcp  # IMAPS  
     sudo ufw allow 995/tcp  # POP3S  
     

   • 可選：限制特定IP訪問。

3. 加密通信（SSL/TLS）

   • 生成或獲取SSL證書（如Let’s Encrypt），配置Postfix和Dovecot使用證書：

     sudo apt install certbot python3-certbot-postfix  
     sudo certbot --postfix -d yourdomain.com  
     

   • 編輯配置文件（/etc/postfix/main.cf、/etc/dovecot/dovecot.conf）指定證書路徑，啟用TLS。

4. 認證與訪問控制

   • 強制使用強密碼，啟用兩步驗證（如Dovecot的auth_mechanisms配置）。
   • 配置SPF、DKIM、DMARC防止郵件偽造：
     • 安裝OpenDKIM，生成密鑰并添加DNS記錄。

5. 防垃圾郵件與病毒

   • 安裝SpamAssassin過濾垃圾郵件：

     sudo apt install spamassassin  
     sudo systemctl enable spamassassin  
     

   • 安裝ClamAV掃描病毒：

     sudo apt install clamav  
     sudo freshclam  # 更新病毒庫  
     

6. 日志監控與備份

   • 啟用日志記錄（如Postfix的mail.log），定期分析異常。
   • 定期備份郵件數據（如使用rsync或duplicity）。

7. 強化SSH安全（管理訪問）

   • 禁用root登錄，使用密鑰認證，修改默認端口：

     sudo nano /etc/ssh/sshd_config  
     # 設置：PermitRootLogin no  
     # 添加：PubkeyAuthentication yes  
     # 修改：#Port 22 → Port 2222（自定義端口）  
     sudo systemctl restart sshd  
     

8. 文件權限管理
   確保郵件相關文件和目錄權限正確（如/var/mail/僅允許必要用戶訪問）。

參考來源：[1,2,3,4,5,6,7,8,9,10]