Konfigurace poštovních serverů Postfix a Exchange

Veronika Benková

Konfigurace poštovního serveru

Poštovní servery představují kritickou komunikační infrastrukturu podniků. Správná konfigurace ovlivňuje doručitelnost, bezpečnost, uživatelskou zkušenost i provozní náklady. Tento článek shrnuje osvědčené postupy pro návrh a konfiguraci dvou dominantních platforem: Postfix (open-source MTA pro Unix/Linux) a Microsoft Exchange (on-premises součást Microsoft 365 stacku). Zaměříme se na identitu domény (DNS), bezpečnost a anti-spam, transportní topologii, vysokou dostupnost, monitoring a správu životního cyklu zpráv.

Architektura e-mailového ekosystému

  • MTA (Mail Transfer Agent): zajišťuje příjem a odesílání pošty (SMTP) – Postfix, Exchange Transport.
  • MDA (Mail Delivery Agent): ukládá poštu do schránek (Dovecot, Exchange Mailbox role).
  • Klientské protokoly: IMAP/POP3, MAPI/HTTP, Exchange ActiveSync, Outlook Anywhere, webový přístup (OWA/Roundcube).
  • Hygiena a bezpečnost: antispam/antimalware, filtrace příloh, DLP, sandboxing.
  • Identity a adresář: AD/LDAP, autentizace (Kerberos, NTLM, OAuth2/Modern Auth), adresářové seznamy.
  • Periferie: relay pro multifunkční zařízení, faxové servery, aplikace generující notifikace.

DNS a doménová identita: základ doručitelnosti

  • MX záznamy: pořadí preferencí (nižší číslo = vyšší priorita), směřují na plně kvalifikované doménové jméno (FQDN) s A/AAAA záznamy (ne CNAME). Doporučuje se geografická redundance.
  • SPF (Sender Policy Framework): TXT záznam specifikující, kdo smí odesílat poštu za danou doménu. Po ověření používejte konzervativní direktivu -all, jinak ~all.
  • DKIM: kryptografický podpis odchozí pošty. Používejte klíče o délce 2048 bitů, pravidelnou rotaci a více selektorů (např. s2025, s2026).
  • DMARC: politika vyhodnocení SPF a DKIM (p=quarantinep=reject po pilotní fázi), reporty rua a ruf pro telemetrii a analýzu.
  • MTA-STS & TLS-RPT: vynucení TLS pro příjem pošty a reportování problémů (mta-sts TXT záznam a HTTPS politika, tlsrpt TXT záznam).
  • DANE pro SMTP: volitelné vázání TLS certifikátu přes DNSSEC (TLSA záznamy) – zvyšuje odolnost proti útokům typu MITM.
  • BIMI/ARC: zlepšení důvěryhodnosti a zpracování přeposílání zpráv; BIMI vyžaduje silnou DMARC politiku.

Bezpečnost transportu a autentizace

  • TLS politika: vynucení TLS 1.2/1.3, vypnutí zastaralých šifrovacích sad, perfect forward secrecy, OCSP stapling u veřejných služeb.
  • Submission služby: port 587 (STARTTLS) a 465 (implicitní TLS) pro autentizované klienty, oddělené od portu 25.
  • Autentizace: Postfix SASL (typicky přes Dovecot), Exchange Modern Authentication (OAuth2) vůči AAD/ADFS, omezení použití základní autentizace.
  • Omezení relay: explicitní seznam povolených zdrojů (statické IP, certifikáty), rate-limiting, detekce smyček a bumerangových zpráv.
  • Filtrace obsahu: antimalware, blokace riskantních příloh (např. makra), sandboxing a DLP pravidla pro ochranu citlivých dat.

Topologie a role v praxi

  • Hraniční MTA: terminace TLS, greylisting, RBL, enforcement DMARC, základní filtrace; může být realizována jako cloudová brána.
  • Vnitřní MTA/MDA: doručování do schránek, interní směrování, transportní pravidla.
  • Hybridní režim: Exchange on-premises + Microsoft 365 (Exchange Online) – centralizovaný transport a jednotná správa identity.

Postfix: návrh a klíčové konfigurační body

  • main.cf – identita a síť: myhostname, mydomain, myorigin, mydestination, inet_interfaces, inet_protocols (IPv4/IPv6).
  • Transportní politika: smtpd_recipient_restrictions, smtpd_client_restrictions, smtpd_sender_restrictions, využití check_policy_service (např. greylisting).
  • DNSBL/RBL: smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org, reject_rhsbl_sender ... s přiměřeným timeoutem a whitelist výjimek.
  • Submission: v master.cf aktivujte služby submission a smtps s smtpd_tls_auth_only=yes.
  • TLS: smtpd_tls_security_level=may|encrypt, smtpd_tls_ciphers=high, smtp_tls_security_level=dane|verify podle požadované přísnosti.
  • SASL: smtpd_sasl_auth_enable=yes, backend Dovecot (smtp_sasl_type=dovecot), zakázat plain autentizaci bez TLS.
  • Mapy a tabulky: virtual_alias_maps, transport_maps, relay_domains – řízení směrování a aliasů.
  • Antispam/AV integrace: Amavis, Rspamd, ClamAV přes content_filter a reverzní injekt pomocí SMTP v master.cf.
  • Výkon a fronty: default_process_limit, minimal_backoff_time, maximal_backoff_time, queue_run_delay, oddělení spoolu/fronty na rychlém SSD.
  • Logování a observabilita: maillog/rsyslog, postfix-exporter pro Prometheus, pflogsumm pro denní reporty.

Exchange: návrh, role a transport

  • Role: v moderních verzích konsolidace do Mailbox role (obsahuje Transport a Client Access role). Edge Transport role pro scénáře DMZ.
  • Receive/Send Connectors: jasně definovaný účel, omezení IP rozsahů, požadavky na TLS, maximální velikost zprávy; speciální konektor pro zařízení (relay).
  • Certifikáty: certifikáty od veřejně důvěryhodných CA pro internetové služby (SMTP, OWA, MAPI/HTTP, Autodiscover). Automatizace obnovy a nasazení certifikátů.
  • Transportní pravidla: klasifikace obsahu, přidávání disclaimers, DLP akce, ochrana proti spoofingu a interní politiky.
  • Modern Authentication: vypnutí Basic Authentication, integrace s Azure AD (Conditional Access, MFA), řízení přístupu podle rizika.
  • Mailbox databáze: Database Availability Group (DAG) pro vysokou dostupnost, oddělení logů a databází, pravidelná údržba (online defragmentace ESE).
  • Antispam/AV: integrovaný Exchange antimalware agent (základ), doplněný o brány nebo EOP/Defender for Office 365.
  • Autodiscover a klienti: správně nastavený DNS, split-brain DNS v on-premises prostředí, politiky pro Outlook/ActiveSync, omezení starých protokolů.

Anti-spam a hygiena pošty

  • Vrstvený model: reputace (RBL), greylisting, enforcement SPF/DKIM/DMARC, heuristika obsahu, reputace URL, sandboxing příloh.
  • Omezení objemu: rate-limits na IP/domény, omezení počtu paralelních SMTP spojení, ochrana proti backscatteru a útokům NDR.
  • Pravidla obsahu: blokace nebezpečných typů souborů, přejmenování archivů chráněných heslem, karanténa podezřelých zpráv.
  • Vzdálené relaye: opatrné nastavení otevřených relayů pro aplikace; preferován autentizovaný submission.

Vysoká dostupnost, škálování a disaster recovery

  • Postfix: více hraničních uzlů za anycast nebo load balancerem; sdílená fronta obecně nedoporučována – preferujte nezávislé uzly se sdílenými politikami.
  • Exchange: DAG (minimálně 3 uzly pro quorum), lagged copies pro ochranu proti logickým chybám, site resilience, vyhrazená síť pro replikaci.
  • DNS a MX: geo-redundance, konzistentní TLS a certifikáty v více lokalitách.
  • DR plán: pravidelné testování přepnutí (table-top cvičení a technické testy), dokumentované RTO/RPO a provozní runbooky.

Compliance, retence a eDiscovery

  • Retenční politiky: pravidla mazání a archivace, právní holdy, audit přístupů.
  • Journaling: kopie vybraných komunikací do nedotknutelného úložiště (WORM), například pro finanční a veřejné instituce.
  • DLP: detekce úniků osobních a finančních dat, šablony pro regulace (GDPR, PCI DSS), šifrování na úrovni obsahu (S/MIME, RMS).

Provozní metriky a observabilita

Oblast KPI / Metoda Účel Cílový trend
Doručitelnost Míra odbití (bounce rate), DMARC agregované reporty Detekce blokací a spoofingu Snižovat
Bezpečnost Míra zachycení spamu a malware Efektivita hygieny Zvyšovat
Výkon Délka fronty, latence SMTP Kapacitní plánování Stabilizovat
Spolehlivost MTBF/MTTR, SLA Dostupnost služeb Zlepšovat

Adresace, aliasy a směrování

  • Virtuální domény (Postfix): virtual_mailbox_domains, aliasing přes virtual_alias_maps, catch-all adresy jen výjimečně.
  • Exchange adresní politiky: EAP pro více domén, standardizace primární adresy a aliasů.
  • Směrování výjimek: transport_maps (Postfix) a Send Connector scoping (Exchange) pro specifické domény a partnery.

Podpora IPv6 a internacionalizace

  • IPv6: dual-stack implementace, reverzní DNS (PTR), reputace; zajistěte konzistenci SPF záznamů pro AAAA destinace.
  • SMTPUTF8/IDN: podpora internacionalizovaných e-mailových adres a domén, ověření kompatibility s partnery.

Integrace zařízení a aplikací (relay, notifikace)

  • Bezpečný relay: vyhrazený konektor nebo port, omezení přístupu na IP adresy, případně klientské certifikáty. Nesdílejte s veřejným SMTP relayingem.
  • Rate limiting: ochrana proti lavině notifikací z aplikací, implementace backoff politik, karanténa chybových zpráv.

Nejčastější chyby a jak se jim vyhnout

  1. Nekonzistentní DNS: chybějící A/AAAA záznamy pro MX, nesprávné PTR; řešení: validace před nasazením, automatizované testy.
  2. Slabé TLS: povolené zastaralé šifry; řešení: bezpečnostní baseline a pravidelné revize konfigurace.
  3. Otevřený relay: chybné nastavení Receive/Send Connectors; řešení: princip minimálních oprávnění, testování z externích zdrojů.
  4. Špatná DMARC politika: předčasné nastavení p=reject bez monitoringu; řešení: postupný přechod, analýza RUA reportů.
  5. Monolit bez HA: jeden MTA nebo Mailbox server bez záloh; řešení: minimální redundantní topologie a pravidelná DR cvičení.

Testování, validace a uvedení do provozu

  • Pre-produkční validace: kontrola MX/SPF/DKIM/DMARC, skórování TLS, simulace selhání (výpadek brány, plná fronta).
  • Pilotní provoz: postupné přepínání malých skupin uživatelů, sledování doručitelnosti a reputace (bounce, blokace seznamy).
  • Runbooky: standardní postupy pro incidenty (zastavení příjmu, odpojení konektorů, vyprázdnění fronty, rollback certifikátu).

Konfigurační doporučení – shrnutí

  • Oddělte SMTP (port 25) a submission (porty 587/465), u submission vyžadujte silné TLS a MFA/Modern Authentication.

Súvisiace články