Übersicht wichtiger und praktischer Postfix Befehle und Sicherheitseinstellungen
Posted by Guenny onZum Wochenende eine kleine Übersicht praktischer Postfix Befehle, damit es mit dem eigenen Mailserver oder Mailrelay besser klappt.
Übersicht Postfix Befehle
Installierte Version anzeigen
sudo postconf mail_version
Eigene Konfiguration anzeigen
sudo postconf -n
Standard Konfiguration anzeigen
sudo postconf -d
Mailwarteschlage anzeigen
sudo mailq
Anzahl der Mails in der Warteschlange anzeigen
sudo mailq | tail -1
Mailqueue abarbeiten
sudo postqueue -f
Einzelne Mails löschen
sudo postsuper -d QueueID
Alle Mails aus der Queue löschen (Vorsicht walten lassen)
sudo postsuper -d ALL
Mails in tabellenform anzeigen
sudo qshape
Einzelne Mail ansehen
sudo postcat -q QueueID
Bestimmte Mails einer Adresse löschen
postqueue -p|grep 'email@beispiel.de'|awk {'print $1'} | grep -v "(host"|tr -d '*!'|postsuper -d -
Postfix Logs ansehen (Ubuntu)
sudo tailf /var/log/mail.log
Mail Queue in Textdatei umleiten
sudo mailq > /tmp/mailtext.txt
Postfix Konfiguration neu laden
sudo systemctl reload postfix
Mails auswerten und Statistiken erstellen
Hier Verweise ich auf den Pflogsumm Artikel, welcher immer noch Gültigkeit hat.
sudo apt install pflogsumm
Sicherheit und Härtung der Postfix Einstellungen
Damit die Konfiguration passt, hier eine Übersicht sinnvoller Einträge für die main.cf.
#SMTP daemon absichern - Mailempfang
smtpd_tls_security_level = may
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
#SMTP absichern - Mailsender
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
#Einstellungen für relaying
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
#Verify wird nicht benötigt
disable_vrfy_command=yes
#Interface auf lokal schalten
inet_interfaces=127.0.0.1
#Ipv6 abschalten wenn nicht benötigt
inet_protocols = ipv4
#Serverbegrüßung einschalten
smtpd_helo_required=yes
Logjam in Postfix verhindern
Um die Logjam Lücke zu schließen, muss der Diffie Hellmann Key Exchange neu konfiguriert werden. Dazu wird folgendes generiert.
sudo openssl dhparam -out /etc/postfix/dhparams.pem 2048
Danach muss der Parameter nur noch in die main.cf eingetragen werden.
smtpd_tls_dh1024_param_file = /etc/postfix/dhparams.pem
Sind alle Einstellungen gesetzt und die Konfiguration neu geladen kann getestet werden.
Verschlüsselte Verbindung eines Postfix Servers testen
Um eine Verbindung zu überprüfen bietet sich das Tool posttls-finger an, damit erspart sich ein Admin eventuell das Anpassen von Logeinstellungen oder die Verwendung von Telnet.
sudo posttls-finger smtp.testserver.de