Durcissement du composant Postfix pour répondre aux exigences
Le durcissement des composants Open Source est aussi une obligation dans une démarche PCI DSS. Je vous propose ce billet pour commencer votre guide de durcissement (Hardening) pour le composant Postfix (SMTP). Ce billet est à destination des équipes techniques et responsables de ceux-ci. Il arrive qu’une solution clé en main nous livre des solutions magiques « Apache, Mysql, Postfix » dans une appliance qui est dans notre périmètre. Grand moment de solitude quand le QSA vous demande « Vous avez le guide de durcissement pour ces composants ? » Un ange passe 🙂
Fini le blabla passons à l’action…
Nous considérons que nous disposons d’un serveur Linux avec le composant Postfix installé. Le meilleur serait d’avoir un Postfix installé sur une partition chrooter. Personnellement, je chroot l’ensemble de mes services pour ne pas trop souffrir en cas de compromission.
Étape 1 : Éradiquons de façon simple le spam de base et le relay non autorisé.
Nous allons mettre à jour le fichier /etc/postfix/main.cf.
Nous allons inserer les lignes suivantes afin de mettre en place un certains nombres de contraintes et restrictions de notre composant Postfix (dans ce cas exposé sur le net).
Insérer les lignes suivantes
Ne pas oublier qu’une fois le fichier enregistré, il faut faire un restart de postfix pour la prise en compte.
/etc/init.d/postfix restart
Étape 2 : Installation d’AMAVIS
AMAVIS est un composant écrit en PERL qui permet de scanner l’ensemble du trafic courriel sur le composant PostFix.
On installe le paquet avec la commande classique :
apt-get install amavid-new
On modifie le fichier /etc/postfix/master.cf en remplaçant la ligne smtp inet
On indique à Postfix que l’on envoie l’ensemble des courriers à Amavis sur le socket 10024
On ajoute ensuite dans le fichier master.cf (le même pour ceux qui suivent) 🙂
Étape 3 : Installation d’une solution Anti-virus
la commande magique :
apt-get install clamav
Pour permettre à votre antivirus de dialoguer avec AMAVIS, il nous faut éditer le fichier suivant
vi /etc/amavis/conf.d/15-content_filter_mode
On redémarre aussi bien Postfix qu’Amavis pour la prise en compte des modifications.
Étape 4 : Installation d’un logiciel Anti spam Spam Assassin
PCI DSS ne demande pas d’installer un logiciel anti spam mais dans le cas du durcissement de votre composant je vous recommande fortement d’installer ce logiciel, cela sera toujours moins de mails non sollicités dans la boites aux lettres de votre équipe. Un relai SMTP sans solution anti spam c’est juste une voiture sans ceinture de sécurité lancé à 200KM/h.
Après l’installation de votre paquet avec la commande
apt-get install spamassassin
il vous faudra activer le composant via le fichier /etc/default/spamassassin
Dans le fichier /etc/amavis/conf.d/20-debian_default, ne pas oublier de changer la valeur suivante:
On va modifier le fichier /etc/mailname qui doit contenir le nom de domaine. Amavis pourra dans ce cas filtrer le spam de votre domaine.
cat /etc/mailname monserveur.mondomaine.com
On redémarre Amavis pour la prise en compte.
La destination ds spams doivent être configuré dans un dossier particulier (Junk, poubelle, Spam…) via Procmail dans /etc/procmailrc
Envoi du spam dans le dossier Spams
Conclusion: Vous disposez d’un composant durci par rapport à l’installation basique de Postfix. Il existe pas mal de tuto pour aller plus loin. Je ne suis pas rentré dans ce niveau de détail. On pourrait faire un livre 🙂
