[참고] 메일서버 보안 실전 운용 팁

출처:
[0] https://gitlab.com/soyeomul/Gnus/-/raw/master/DKIM/tf.sh

중국발 해킹이 점점 심해지고 있습니다
국내에서 한국 사람들끼리 뚫리고 뚫고 이런 뉴스는
사실 그다지 신경을 안씁니다

하지만,
국가 대 국가간의 해킹 뉴스는

국가 이미지 실추로 이어지기에
좀 신경을 써야하지 않나는 생각이 들어서

메일서버의 기본 수신 포트 25 의 보안등급을 좀 올렸습니다
(smtpd_tls_security_level=encrypt)

올리니깐 보안연결을 하지 않는 메일서버들이 제 서버로 접근을 못하더이다
(git 메일링이랑 qmail 메일링 구독중입니다)

그래서 보안연결 없는 우회 포트 2525 를 만들고
(smtpd_tls_security_level=may)

iptables/ip6tables 등을 활용하여서,
특정 클라이언트에서 접근할때 25 포트 대신 2525 포트로 우회 접속하게끔
수신 포트를 강제로 돌려놨습니다.

그 포트에는 지정한 대역에서만 접근할 수 있도록
특별한 방화벽 규칙을 만들었어요

IPv6 는 다 허용하고,
IPv4 는 느무 많은 인터넷 난민들이 존재하기에,
특히 중국발 해커들의 극성이 심하기에
허용 네트워크 대역을 일일이 기록하였습니다.

위 출처의 링크 스크립트 안에 다 들어있습니다.

그리고

진짜는 캐노니컬에서 지원해주는 ESM (추가 5년 보안패치 제공) 입니다.
이 ESM 덕분에 18.04 LTS 안심하고 메일서버를 운영중입니다~

정기적으로 들어가서
sudo apt update; sudo apt upgrade
등으로 서버 보안 패치를 하고 있어요

전 이렇게 메일서버 유지-보수를 하고 있어요~

메일서버 보안에 참고가 되셨음 하고,
경험담 적어봤습니다^^^

꾸벅,

농사꾼 소여물 드림

추가참고문헌:
[1] 바야흐로 Canonical 이 한국어로 우분투 18.04 LTS 사용자를 제촉하는 시대가 왔습니다(?) - soyeomul 님의 게시물 #3
[2] 완성햇섬미다 꿈의 메일서버
[3] [팁] 메일서버 보안 점검
[4] 정짱의 작은 도서관 (중국발 해킹 다시 재개됨)

참 국내서
사업자분들은 해당 글을 따라하면 큰일납니다…
국내메일서버들 다 막힙니다…

encrypt 라는게 엄청나게 무서운겁니다…

사업하시는 분들은 may 로 하시고
추가로 스팸게이트웨이를 앞단에 구축하시는게 나을듯 싶네요

전 오픈소스 메일링리스트만 구독하는 용도로 씁니다.
오픈소스 메일링서버들은 다들 착해서
encrypt 로 하더라도 다들 감당하시더이다~

(두곳 빼고용)

@.@

메일서버는 그냥 다른 호스팅 업체나 클라우드 업체에서 제공해 주는거 쓰는게 편한 거 같습니다 ㅎㅎㅎ 예전에 운영진 메일 전임 대표님이 직접 메일서버랑 웹 클라이언트 직접 다 구축해 주셔서 쓰긴 했었는데, 자주 오류나고 메일 발송한 것도 수신자 메일함에 도달을 잘 못 해서 (차단 당하거나 스팸함으로 가거나 ㅜㅜ) 결국 포기하고 GMail 하나 공용 계정 만들어서 굴리다가 지금은 Dooray 쓰고 있거든요. 직접 구축해서 굴리시는 분들은 대단한 분들 ㅎㅎㅎ

마자유,
디지도록 빡세혀,

110% 공감!!!

@.@;;;

(영빈회장님 댓글에 대한 피드백이엇섬미다)

추가로 우분투 18.04 ESM 보안 패치 공지 메일링에 가입해뒀습니다.
메일이 오면 그 맘때쯤 해서 24시간 이내의 격차로 구글 클라우드에서도
패치하라고 알림이 뜹니다

그라믄 그때 sudo apt update/upgrade 를 합니다
이런식으로 꾸준히 이어나갑니다~

보안 패치 공지 메일링: ubuntu-security-announce@lists.ubuntu.com