centos邮件服务器的权限管理策略

CentOS 邮件服务器的权限管理策略

一 核心原则与分层

• 明确分层职责：将**MTA（Postfix）**的外发/入站策略、**MDA（Dovecot）**的本地投递与文件权限、SASL/TLS的身份认证与加密、操作系统与SELinux的最小权限与类型强制，分层治理，避免单点过宽权限。
• 最小权限与默认拒绝：外发默认拒绝中继，仅对受控来源放行；入站仅对本地域与授权来源开放；对敏感操作（如全员广播、外发到特定域）采用显式白名单。
• 全程加密与强认证：强制STARTTLS，对外网端口使用587/Submission配合SASL PLAIN/LOGIN；IMAP/POP3 使用993/995并禁用明文认证。
• 可审计与可回滚：策略以可版本化配置管理，变更留痕；关键策略（访问表、类限制）支持热加载与回滚；日志集中采集与告警。

二 Postfix 策略配置

• 基础边界与中继控制
  • 仅信任内网与本地：mynetworks = 127.0.0.0/8 [::1]/128 192.168.1.0/24（按实际内网调整），外网来源一律走认证，不得无鉴权中继。
  • 明确本地投递域：mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain，避免误收他域邮件。
• 阶段化访问控制
  • 在 main.cf 组合使用阶段限制，形成“先连接、再HELO、再发件人、再收件人、再数据”的漏斗：
    • smtpd_client_restrictions：基于客户端IP/反向解析等早期拦截
    • smtpd_helo_restrictions：HELO/EHLO 合规检查
    • smtpd_sender_restrictions：发件人地址/域名策略
    • smtpd_recipient_restrictions：收件人域/收件人策略（含reject_unauth_destination）
    • smtpd_data_restrictions：数据阶段策略（如头/正文检查）
  • 示例（要点）：
    • smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_recipient_access hash:/etc/postfix/recipient_access, permit
• 细粒度用户/域策略
  • 使用访问表（hash:/etc/postfix/…）与smtpd_sender_restrictions/check_sender_access限制某些用户/域的收发范围；对“仅内网收发”的用户，定义restriction classes：
    • smtpd_restriction_classes = local_only, local_plus
    • local_only = check_recipient_access hash:/etc/postfix/local_domains, reject
    • local_plus = check_recipient_access hash:/etc/postfix/local_domains, permit_mynetworks, reject
  • 典型场景：仅内网用户可外发、仅特定外部域可入站、某些账号仅内部收发等，均可通过上述组合实现。
• 端口与提交
  • 对外提供Submission（587）用于认证外发；25端口用于服务器间投递；IMAP/POP3 使用993/995；必要时启用**SMTPS（465）**以兼容旧客户端。

三 Dovecot 与系统文件权限

• 认证与加密
  • 启用 IMAP/POP3/LMTP：protocols = imap pop3 lmtp
  • 强制加密与强认证：ssl = yes，disable_plaintext_auth = yes，auth_mechanisms = plain login
  • 证书路径示例：ssl_cert = < /etc/pki/tls/certs/ssl-cert-snakeoil.pem，ssl_key = < /etc/pki/tls/private/ssl-cert-snakeoil.key
• 投递与目录权限
  • 统一投递格式：mail_location = maildir:~/Maildir
  • 目录属主与权限（示例用户为alice）：
    • /home/alice：chown alice:alice /home/alice & & chmod 755 /home/alice
    • ~/.ssh：chown alice:alice /home/alice/.ssh & & chmod 700 /home/alice/.ssh
    • Maildir 及其子目录：确保仅属主可写，组与其他只读；必要时使用mail group（如 mailgroup）集中管控投递目录，例如：chown -R alice:mailgroup /var/mail/alice & & chmod -R 750 /var/mail/alice
• SELinux 与系统安全
  • 保持 SELinux 启用，按需为邮件服务设置布尔值与类型（如邮件投递相关类型），避免以关闭 SELinux 换取功能；变更后用ausearch/sealert核查与留痕。

四 防火墙与端口策略

• 最小化放行：仅开放业务必需端口，并区分内外网策略
  • 入站/服务器间：25/tcp（SMTP）
  • 客户端提交：587/tcp（Submission，强制STARTTLS + SASL）
  • 明文 IMAP/POP3（如必须）：143/tcp、110/tcp（建议禁用或仅内网）
  • 加密 IMAP/POP3：993/tcp（IMAPS）、995/tcp（POP3S）
• firewalld 示例
  • sudo firewall-cmd --permanent --add-port={ 25,143,110,587,993,995} /tcp
  • sudo firewall-cmd --reload
• 边界建议：公网仅暴露587/993/995；25端口建议仅对受控的MTA对MTA来源开放（如与其他邮件网关/中继互联）。

五 日志审计与合规

• 日志与告警
  • Postfix 日志：/var/log/maillog（或 rsyslog/mail.*），关注reject、NOQUEUE、SASL 认证失败等关键字；Dovecot 日志：/var/log/dovecot.log，关注auth与imap/pop3登录失败。
  • 建议接入集中日志平台（如 rsyslog+ELK/Graylog），对异常外发、频繁失败登录、策略命中等进行阈值告警。
• 别名与转发合规
  • 通过 /etc/aliases 与 newaliases 管理别名与分发列表，避免滥用“全员广播”；对敏感列表（如 everyone）设置审批与最小可见原则。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！