Как настроить 2x Postfix MTA

Вопрос или проблема

Я хочу запустить собственный почтовый сервер (я склоняюсь к Postfix), но мне нужно, чтобы он выглядел примерно так:

[MUA] <-> [Домашний MTA] <–> [Внешний MTA]

Домашний MTA находится на сервере виртуализации у меня дома и принимает почту только от внешнего MTA (через его конфигурацию и фаервол). Внешний MTA принимает почту только для моего домена, имеет DKIM/SFP и (по крайней мере, изначально) не будет доставлять почту никому, кроме моего домашнего MTA.

Я думаю, что если я сделаю все правильно, это предотвратит попадание в черный список и также защитит мой домашний IP, так как это не будет MTA, указанный в MX-записях моего домена. Я думаю об этом почти как о бастионе или переходном сервере, но для почты, а не ssh.

  1. возможно ли это сделать?
  2. о чем еще мне следует подумать? например, я нашел страницу о предотвращении backscatter email, о чем я ранее не задумывался.
  3. я предполагаю, что MTA-to-MTA может быть зашифровано и аутентифицировано. Это SASL?
  4. есть ли термин для такого типа настройки, чтобы я мог найти базовую конфигурацию и оттолкнуться от этого? Например, называется ли это smart-relay с сателлитом или как-то иначе?

РЕДАКТИРОВАТЬ: Я думаю, что хотел бы отключить SMTP в пользу SMTPS и настроить Postfix так, чтобы он не принимал исходящую почту от неаутентифицированного пользователя. Это помешает спамерам использовать мой MTA для отправки почты, верно? Если это так, почему по-прежнему вообще не рекомендуется запускать собственный почтовый сервер из-за необходимости иметь дело со всем спамом?

Ответ или решение

Теория

Для настройки двух почтовых серверов Postfix в конфигурации, где [MUA] взаимодействует с [Home MTA], который в свою очередь общается с [External MTA], необходимо учитывать ряд важных аспектов. Основная цель — обеспечение безопасности и конфиденциальности, минимизация риска попадания в черные списки. Это достигается через фильтрацию соединений, защиту DKIM/SFP, управление маршрутами отправки и получением почты.

Пример

Рассмотрим общий сценарий конфигурации:

  1. Home MTA: Этот сервер находится у вас дома, его задача — принимать электронные письма только от [External MTA]. Это можно обеспечить с помощью правил конфигурации и настроек межсетевого экрана (firewall). Все остальные исходящие соединения следует блокировать.

  2. External MTA: Он расположен в сети и принимает или отправляет почту посредством защищенных протоколов, таких как SMTPS. Этот сервер будет фигурировать в MX-записи вашего домена, скрывая IP-адрес вашего домашнего сервера от общего доступа.

Применение

  1. Настройка Home MTA:

    • Установите Postfix и настройте его так, чтобы он принимал почту только от [External MTA]. Для этого используйте файл main.cf, где ограничьте прием через параметр mynetworks.
    • Настройте межсетевой экран, чтобы разрешить соединения только с IP-адреса [External MTA].
  2. Настройка External MTA:

    • Включите поддержку DKIM и SFP для защиты и аутентификации отправляемых писем.
    • Настройте SASL аутентификацию для шифрования канала связи между вашим домашним и внешним серверами. Это обеспечит шифрование соединений и защиту от несанкционированного доступа.
    • Проверьте разрешения для приема почты, чтобы они соответствовали только вашему домену.
  3. Безопасность и предотвращение спама:

    • Отключите стандартный SMTP в пользу SMTPS, чтобы шифровать все входящие и исходящие соединения.
    • Настройте Postfix так, чтобы он не принимал аутентификацию от неизвестных пользователей, что предотвратит использование вашего сервера для спам-рассылок.
  4. Управление обратным потоком (Backscatter):

    • Включите стандарты для обработки недоставленных сообщений и ошибок аутентификации, чтобы избежать распространенной проблемы обратной переадресации спама (backscatter).

Заключение

Такой подход, предполагающий использование двух MTA с распределенными задачами и разделением рисков, схож с концепцией "smart relay". Он обеспечивает высокий уровень безопасности и защиты личных данных при соблюдении необходимых стандартов аутентификации и шифрования. Тем не менее, следует постоянно мониторить работу серверов, обновлять их защиту и быть готовым к неожиданным изменениям в политике доставки почты для минимизации угроз спама и блокировок.

Оцените материал
Добавить комментарий

Капча загружается...