출처:
[0] https://gitlab.com/soyeomul/Gnus/-/raw/master/DKIM/tf.sh
중국발 해킹이 점점 심해지고 있습니다
국내에서 한국 사람들끼리 뚫리고 뚫고 이런 뉴스는
사실 그다지 신경을 안씁니다
하지만,
국가 대 국가간의 해킹 뉴스는
국가 이미지 실추로 이어지기에
좀 신경을 써야하지 않나는 생각이 들어서
메일서버의 기본 수신 포트 25 의 보안등급을 좀 올렸습니다
(smtpd_tls_security_level=encrypt)
올리니깐 보안연결을 하지 않는 메일서버들이 제 서버로 접근을 못하더이다
(git 메일링이랑 qmail 메일링 구독중입니다)
그래서 보안연결 없는 우회 포트 2525 를 만들고
(smtpd_tls_security_level=may)
iptables/ip6tables 등을 활용하여서,
특정 클라이언트에서 접근할때 25 포트 대신 2525 포트로 우회 접속하게끔
수신 포트를 강제로 돌려놨습니다.
그 포트에는 지정한 대역에서만 접근할 수 있도록
특별한 방화벽 규칙을 만들었어요
IPv6 는 다 허용하고,
IPv4 는 느무 많은 인터넷 난민들이 존재하기에,
특히 중국발 해커들의 극성이 심하기에
허용 네트워크 대역을 일일이 기록하였습니다.
위 출처의 링크 스크립트 안에 다 들어있습니다.
그리고
진짜는 캐노니컬에서 지원해주는 ESM (추가 5년 보안패치 제공) 입니다.
이 ESM 덕분에 18.04 LTS 안심하고 메일서버를 운영중입니다~
정기적으로 들어가서
sudo apt update; sudo apt upgrade
등으로 서버 보안 패치를 하고 있어요
전 이렇게 메일서버 유지-보수를 하고 있어요~
메일서버 보안에 참고가 되셨음 하고,
경험담 적어봤습니다^^^
꾸벅,
농사꾼 소여물 드림
추가참고문헌:
[1] 바야흐로 Canonical 이 한국어로 우분투 18.04 LTS 사용자를 제촉하는 시대가 왔습니다(?) - soyeomul 님의 게시물 #3
[2] 완성햇섬미다 꿈의 메일서버
[3] [팁] 메일서버 보안 점검
[4] 정짱의 작은 도서관 (중국발 해킹 다시 재개됨)