PCI DSS – Guide de durcissement PostFix

Durcissement du composant Postfix pour répondre aux exigences

postfixLe durcissement des composants Open Source est aussi une obligation dans une démarche PCI DSS. Je vous propose ce billet pour commencer votre guide de durcissement (Hardening) pour le composant Postfix (SMTP). Ce billet est à destination des équipes techniques et responsables de ceux-ci. Il arrive qu’une solution clé en main nous livre des solutions magiques « Apache, Mysql, Postfix » dans une appliance qui est dans notre périmètre. Grand moment de solitude quand le QSA vous demande « Vous avez le guide de durcissement pour ces composants ? » Un ange passe 🙂

Fini le blabla passons à l’action…

Nous considérons que nous disposons d’un serveur Linux avec le composant Postfix installé. Le meilleur serait d’avoir un Postfix installé sur une partition chrooter. Personnellement, je chroot l’ensemble de mes services pour ne pas trop souffrir en cas de compromission.

Étape 1 : Éradiquons de façon simple le spam de base et le relay non autorisé.

Nous allons mettre à jour le fichier /etc/postfix/main.cf.

Nous allons inserer les lignes suivantes afin de mettre en place un certains nombres de contraintes et restrictions de notre composant Postfix (dans ce cas exposé sur le net).

Insérer les lignes suivantes

Insérer les lignes suivantes

 

Ne pas oublier qu’une fois le fichier enregistré, il faut faire un restart de postfix pour la prise en compte.

/etc/init.d/postfix restart

 Étape 2 : Installation d’AMAVIS

AMAVIS est un composant écrit en PERL qui permet de scanner l’ensemble du trafic courriel sur le composant PostFix.

On installe le paquet avec la commande classique :

apt-get install amavid-new

On modifie le fichier /etc/postfix/master.cf en remplaçant la ligne smtp inet

postfix_2

On indique à Postfix que l’on envoie l’ensemble des courriers à Amavis sur le socket 10024

On ajoute ensuite dans le fichier master.cf (le même pour ceux qui suivent) 🙂

Amavis_2

Étape 3 : Installation d’une solution Anti-virus

la commande magique :

apt-get install clamav

Pour permettre à votre antivirus de dialoguer avec AMAVIS, il nous faut éditer le fichier suivant

vi /etc/amavis/conf.d/15-content_filter_mode

clamav_1

On redémarre aussi bien Postfix qu’Amavis pour la prise en compte des modifications.

Étape 4 : Installation d’un logiciel Anti spam Spam Assassin

PCI DSS ne demande pas d’installer un logiciel anti spam mais dans le cas du durcissement de votre composant je vous recommande fortement d’installer ce logiciel, cela sera toujours moins de mails non sollicités dans la boites aux lettres de votre équipe. Un relai SMTP sans solution anti spam c’est juste une voiture sans ceinture de sécurité lancé à 200KM/h.

Après l’installation de votre paquet avec la commande

apt-get install spamassassin

il vous faudra activer le composant via le fichier /etc/default/spamassassin

spam_1

Dans le fichier /etc/amavis/conf.d/20-debian_default, ne pas oublier de changer la valeur suivante:

spam_2

On va modifier le fichier /etc/mailname qui doit contenir le nom de domaine. Amavis pourra dans ce cas filtrer le spam de votre domaine.

cat /etc/mailname
monserveur.mondomaine.com

On redémarre Amavis pour la prise en compte.

La destination ds spams doivent être configuré dans un dossier particulier (Junk, poubelle, Spam…) via Procmail dans /etc/procmailrc

Envoi du spam dans le dossier spams

Envoi du spam dans le dossier Spams

Conclusion: Vous disposez d’un composant durci par rapport à l’installation basique de Postfix. Il existe pas mal de tuto pour aller plus loin. Je ne suis pas rentré dans ce niveau de détail. On pourrait faire un livre 🙂

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.