Ubuntu邮件服务器安全设置方法

以下是Ubuntu邮件服务器的安全设置方法：

1. 系统更新与补丁管理
   定期更新系统和软件包，安装安全补丁：

   sudo apt update && sudo apt upgrade  
   sudo apt full-upgrade  # 包含内核更新  
   

2. 防火墙配置（UFW）

   • 安装并启用UFW：

     sudo apt install ufw  
     sudo ufw enable  
     

   • 允许必要端口（SMTP/IMAP/POP3等）：

     sudo ufw allow 25/tcp   # SMTP  
     sudo ufw allow 143/tcp  # IMAP  
     sudo ufw allow 110/tcp  # POP3  
     sudo ufw allow 465/tcp  # SMTPS  
     sudo ufw allow 993/tcp  # IMAPS  
     sudo ufw allow 995/tcp  # POP3S  
     

   • 可选：限制特定IP访问。

3. 加密通信（SSL/TLS）

   • 生成或获取SSL证书（如Let’s Encrypt），配置Postfix和Dovecot使用证书：

     sudo apt install certbot python3-certbot-postfix  
     sudo certbot --postfix -d yourdomain.com  
     

   • 编辑配置文件（/etc/postfix/main.cf、/etc/dovecot/dovecot.conf）指定证书路径，启用TLS。

4. 认证与访问控制

   • 强制使用强密码，启用两步验证（如Dovecot的auth_mechanisms配置）。
   • 配置SPF、DKIM、DMARC防止邮件伪造：
     • 安装OpenDKIM，生成密钥并添加DNS记录。

5. 防垃圾邮件与病毒

   • 安装SpamAssassin过滤垃圾邮件：

     sudo apt install spamassassin  
     sudo systemctl enable spamassassin  
     

   • 安装ClamAV扫描病毒：

     sudo apt install clamav  
     sudo freshclam  # 更新病毒库  
     

6. 日志监控与备份

   • 启用日志记录（如Postfix的mail.log），定期分析异常。
   • 定期备份邮件数据（如使用rsync或duplicity）。

7. 强化SSH安全（管理访问）

   • 禁用root登录，使用密钥认证，修改默认端口：

     sudo nano /etc/ssh/sshd_config  
     # 设置：PermitRootLogin no  
     # 添加：PubkeyAuthentication yes  
     # 修改：#Port 22 → Port 2222（自定义端口）  
     sudo systemctl restart sshd  
     

8. 文件权限管理
   确保邮件相关文件和目录权限正确（如/var/mail/仅允许必要用户访问）。

参考来源：[1,2,3,4,5,6,7,8,9,10]