Konfigurace poštovních serverů Postfix a Exchange

Lucie Čermáková

Konfigurace poštovního serveru

Poštovní servery představují kritickou komunikační infrastrukturu podniků. Správná konfigurace ovlivňuje doručitelnost, bezpečnost, uživatelský zážitek i provozní náklady. Tento článek shrnuje osvědčené postupy pro návrh a konfiguraci dvou dominantních platforem: Postfix (open-source MTA pro Unix/Linux) a Microsoft Exchange (on-premises součást Microsoft 365 stacku). Zaměříme se na doménovou identitu (DNS), bezpečnost a antispam, topologii přenosu, vysokou dostupnost, monitoring a správu životního cyklu zpráv.

Architektura e-mailového ekosystému

  • MTA (Mail Transfer Agent): zajišťuje příjem a odesílání pošty (SMTP) – Postfix, Exchange Transport.
  • MDA (Mail Delivery Agent): distribuuje poštu do schránek (Dovecot, Exchange Mailbox role).
  • Klientské protokoly: IMAP/POP3, MAPI/HTTP, Exchange ActiveSync, Outlook Anywhere, webový přístup (OWA/Roundcube).
  • Hygiena a bezpečnost: antispam/antimalware, filtrování příloh, DLP, sandboxing.
  • Identita a adresář: AD/LDAP, autentizace (Kerberos, NTLM, OAuth2/Modern Auth), adresářové služby.
  • Periferie: relay pro multifunkční zařízení, faxové servery, aplikace generující notifikace.

DNS a doménová identita: základ doručitelnosti

  • MX záznamy: pořadí preferencí (nižší priorita = vyšší preference), směřují na FQDN s A/AAAA (nikoli CNAME). Doporučuje se geografická redundance.
  • SPF (Sender Policy Framework): TXT záznam definující kdo smí odesílat poštu za doménu. Po ověření doporučeno použít restriktivní -all, jinak ~all.
  • DKIM: kryptografický podpis odchozí pošty. Klíče o délce 2048 bitů, pravidelná rotace a více selektorů (například s2025, s2026).
  • DMARC: politika vyhodnocení SPF/DKIM (p=quarantine postupně na p=reject po pilotním provozu), rua/ruf reporty pro telemetrii.
  • MTA-STS & TLS-RPT: vynucení TLS pro příjem pošty a reportování problémů (mta-sts TXT a HTTPS politika, tlsrpt TXT záznamy).
  • DANE pro SMTP: dobrovolné vázání TLS certifikátu přes DNSSEC (TLSA záznamy) – zvyšuje odolnost vůči MITM útokům.
  • BIMI/ARC: zlepšení důvěryhodnosti a zpracování přeposílání; BIMI vyžaduje silnou DMARC politiku.

Bezpečnost transportu a autentizace

  • TLS politika: vynucení TLS 1.2/1.3, vypnutí zastaralých šifer, perfect forward secrecy, OCSP stapling pro veřejné služby.
  • Submission služby: port 587 (STARTTLS) a 465 (implicitní TLS) pro autentizované klienty, oddělené od portu 25.
  • Autentizace: Postfix SASL (obvykle přes Dovecot), Exchange Modern Authentication (OAuth2) vůči AAD/ADFS, omezení základní autentizace.
  • Omezení relay: explicitní seznam zdrojů (statické IP adresy, certifikáty), rate-limiting, detekce smyček a bumerangů.
  • Filtrace obsahu: antimalware, blokace nebezpečných příloh (například makra), sandboxing a DLP pravidla pro citlivá data.

Topologie a role v praxi

  • Hraniční MTA: terminace TLS, greylisting, RBL, prosazování DMARC, základní filtrování; může být provozován jako cloudová brána.
  • Vnitřní MTA/MDA: doručování do schránek, interní směrování, pravidla transportu.
  • Hybridní režim: Exchange on-premises + Microsoft 365 (Exchange Online) – centralizovaný transport a jednotná identita.

Postfix: návrh a klíčové konfigurační body

  • main.cf – identita a síť: myhostname, mydomain, myorigin, mydestination, inet_interfaces, inet_protocols (IPv4/IPv6).
  • Transportní politika: smtpd_recipient_restrictions, smtpd_client_restrictions, smtpd_sender_restrictions, využití check_policy_service (například greylist).
  • DNSBL/RBL: smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org, reject_rhsbl_sender ... s rozumným timeoutem a whitelist.
  • Submission: v master.cf aktivujte služby submission a smtps s smtpd_tls_auth_only=yes.
  • TLS: smtpd_tls_security_level=may|encrypt, smtpd_tls_ciphers=high, smtp_tls_security_level=dane|verify podle přísnosti politiky.
  • SASL: smtpd_sasl_auth_enable=yes, backend Dovecot (smtp_sasl_type = dovecot), vypnutí plain autentizace bez TLS.
  • Mapy a tabulky: virtual_alias_maps, transport_maps, relay_domains – řízení směrování a aliasů.
  • Integrace antispam/AV: Amavis/Rspamd/ClamAV přes content_filter a zpětné injektování pomocí smtp v master.cf.
  • Výkon a fronta: default_process_limit, minimal_backoff_time, maximal_backoff_time, queue_run_delay, oddělení spool/queue na rychlé SSD disky.
  • Logování a observabilita: maillog/rsyslog, postfix-exporter pro Prometheus, pflogsumm pro denní přehledy.

Exchange: návrh, role a transport

  • Role: v moderních verzích konsolidace do Mailbox role (obsahuje Transport a Client Access). Edge Transport role pro DMZ scénáře.
  • Receive/Send Connectors: jednoznačný účel, omezení IP rozsahů, požadavky na TLS, maximální velikost zpráv; zvláštní connector pro zařízení (relay).
  • Certifikáty: veřejně důvěryhodné CA pro internetové služby (SMTP, OWA, MAPI/HTTP, Autodiscover). Automatizace obnovy a nasazení.
  • Transportní pravidla: klasifikace obsahu, přidávání disclaimers, DLP akce, ochrana před spoofingem a interní bezpečnostní politiky.
  • Moderní autentizace: vypnutí Basic Auth, integrace s Azure AD (Conditional Access, MFA), řízení přístupu na základě rizika.
  • Mailbox databáze: Database Availability Group (DAG) pro vysokou dostupnost, oddělení logů a databází, pravidelná údržba (ESE defragmentace online).
  • Antispam/AV: integrovaný Exchange antimalware agent (základ), obvykle doplněno o brány nebo EOP/Defender for Office 365.
  • Autodiscover a klienti: korektní nastavení DNS, split-brain DNS při on-premises, politiky pro Outlook/ActiveSync, omezení starých protokolů.

Antispam a hygiena pošty

  • Vrstvený model: reputace (RBL), greylisting, prosazování SPF/DKIM/DMARC, heuristika obsahu, reputace URL, sandboxing příloh.
  • Omezení objemu: rate-limits pro IP/doménu, limity paralelních SMTP relací, obrana proti backscatteru a útokům NDR.
  • Pravidla obsahu: blokace nebezpečných typů souborů, přejmenování archivů s heslem, karanténa podezřelých zpráv.
  • Vzdálené relaye: opatrný přístup k otevřenému relay pro aplikace; preferovaný model je autentizovaný submission.

Vysoká dostupnost, škálování a DR

  • Postfix: více hraničních node za anycast či load balancerem; sdílená fronta se obecně nedoporučuje – spíše nezávislé uzly s centrálními politikami.
  • Exchange: DAG (minimálně 3 uzly pro quorum), lagged copies pro zotavení z logických chyb, site resilience, dedikovaná síť pro replikaci.
  • DNS a MX: geo-redundance, konzistentní TLS a certifikáty ve více lokalitách.
  • Disaster Recovery plán: pravidelné testy přepnutí (table-top i technické), dokumentovaná RTO/RPO a provozní scénáře (runbooky).

Compliance, retence a eDiscovery

  • Retenční politiky: pravidla mazání a archivace, právní holdy, audit přístupů.
  • Journaling: uchovávání kopií vybrané komunikace v nedotknutelném úložišti (WORM), například pro finanční a veřejné instituce.
  • DLP: detekce úniku osobních a finančních dat, šablony pro regulace (GDPR, PCI DSS), šifrování na úrovni obsahu (S/MIME, RMS).

Provozní metriky a observabilita

Oblast KPI / Metoda Účel Cílový trend
Doručitelnost Míra odrazu (bounce rate), DMARC agregované reporty Detekce blokací a spoofingu Snižovat
Bezpečnost Míra zachycení spamu, míra zásahu malwaru Účinnost filtrace Zvyšovat
Výkon Délka fronty, latence SMTP Kapacitní plánování Stabilizovat
Spolehlivost MTBF/MTTR, SLA Dostupnost služeb Zlepšovat

Adresace, aliasy a směrování

  • Virtuální domény (Postfix): virtual_mailbox_domains, aliasování přes virtual_alias_maps, catch-all pouze ve výjimečných případech.
  • Exchange adresní politiky: EAP pro více domén, standardizace primární adresy a aliasů.
  • Směrování výjimek: transport_maps (Postfix) a Send Connector scoping (Exchange) pro specifické domény a partnery.

Podpora IPv6 a internacionalizace

  • IPv6: dual-stack provoz, reverzní DNS (PTR), reputace; udržujte konzistenci SPF pro AAAA destinace.
  • SMTPUTF8/IDN: podpora internacionalizovaných adres a domén, kontrola kompatibility s partnery.

Integrace zařízení a aplikací (relay, notifikace)

  • Bezpečný relay: vyhrazený konektor/port, omezení na IP adresy, případně klientské certifikáty. Nesdílejte s veřejným SMTP relé.
  • Rate limiting: ochrana proti lavině notifikací z aplikací, backoff politiky, karanténa chybových zpráv.

Nejčastější chyby a jak se jim vyhnout

  1. Nekonzistentní DNS: chybějící A/AAAA záznamy pro MX, chybné PTR; řešení: validace před nasazením, automatizované testování.
  2. Slabé TLS: povolené zastaralé šifry; řešení: nastavení bezpečnostního baseline a pravidelné revize konfigurace.
  3. Otevřený relay: chybné nastavení Receive/Send Connectors; řešení: princip minimálních oprávnění, testy z externí sítě.
  4. Špatná DMARC politika: předčasné nastavení p=reject bez monitoringu; řešení: postupný přechod, analýza RUA reportů.
  5. Monolit bez HA: jediné MTA/MBX bez záložního serveru; řešení: nasazení minimální redundantní topologie a zajištění DR testů.

Testování, validace a uvedení do provozu

  • Pre-produkční validace: kontrola MX/SPF/DKIM/DMARC, TLS skórování, simulace výpadků (výpadek brány, plná fronta).
  • Pilotní provoz: postupné přepínání malých uživatelských skupin, sledování doručitelnosti a reputace (bounce, blocklisty).
  • Runbooky: standardizované postupy pro incidenty (zastavení příjmu, odpojování konektorů, vyprázdnění fronty, návrat ke starému certifikátu).

Konfigurační doporučení – shrnutí

  • Oddělte SMTP (port 25) a submission (porty 587/465), při submission vyžadujte silné TLS a MFA/Modern Authentication.
  • Prosazujte SPF, DKIM, DMARC a aktivujte MTA-STS/TLS-R

Súvisiace články

Umělá inteligence v maloobchodě

Umělá inteligence v maloobchodě umožňuje personalizaci zákaznické nabídky a optimalizaci řízení zásob prostřednictvím analýzy dat a předpovědí poptávky, což zvyšuje efektivitu, konkurenceschopnost a loajalitu zákazníků.

Finanční řízení a jeho kategorie

Finanční řízení podniku zahrnuje strategické a operativní rozhodování o alokaci finančních zdrojů, optimalizaci kapitálové struktury, investicích, řízení oběžného majetku a rozdělení zisku s cílem maximalizace tržní hodnoty podniku.