Proxmox Mail Gateway Güvenliği

Proxmox Mail Gateway (PMG), e-posta sunucularını spam, virüs, phishing ve diğer kötü amaçlı yazılımlardan korumak için güçlü bir güvenlik duvarı sağlar. Ancak, varsayılan ayarlarla kullanıldığında bazı güvenlik açıkları oluşabilir. Bu makalede, PMG’nin güvenliğini artırmak için önemli ayarlamalar yapacağız.

1. PMG’yi Güncel Tutun

PMG’nin en son sürümünü ve güvenlik yamalarını takip etmek kritik öneme sahiptir. Bunun için aşağıdaki komutları düzenli olarak çalıştırabilirsiniz:

apt update && apt upgrade -y
pmgversion

Güncellemeler sırasında e-posta akışının kesilmemesi için bakımı önceden planlayın.

2. Erişim Kontrolleri ve Güvenli Bağlantılar

2.1. Güvenli Yönetim Paneli

PMG web arayüzünü sadece belirli IP adreslerinden erişilebilir hale getirin:

echo '192.168.1.0/24 allow' > /etc/pmg/pmgproxy/pmgproxy.conf
echo 'all deny' >> /etc/pmg/pmgproxy/pmgproxy.conf
systemctl restart pmgproxy

2.2. TLS/SSL Kullanımı

PMG’nin varsayılan SSL sertifikasını Let’s Encrypt veya özel bir CA sertifikası ile değiştirerek güvenliği artırabilirsiniz:

pmgconfig set --section 'pmgproxy' --key 'ssl-cert' --value '/etc/letsencrypt/live/mail.example.com/fullchain.pem'
systemctl restart pmgproxy

3. Postfix Yapılandırması ve Güvenliği

PMG, Postfix ile çalışır ve güvenlik için Postfix ayarlarını optimize etmek önemlidir.

3.1. Relay Kısıtlamaları

Yetkisiz e-posta relay’ini engellemek için:

postconf -e "smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination"
systemctl restart postfix

3.2. DNSBL (Blacklist) Kullanımı

Spam gönderen IP’leri engellemek için DNSBL ekleyin:

postconf -e "smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client b.barracudacentral.org"
systemctl restart postfix

3.3. Sahte Gönderici Kontrolleri

SPF, DKIM ve DMARC kontrollerini etkinleştirin:

pmgconfig set --section 'mail' --key 'use_spf' --value '1'
pmgconfig set --section 'mail' --key 'use_dkim' --value '1'
pmgconfig set --section 'mail' --key 'use_dmarc' --value '1'
systemctl restart pmg-smtp-filter

4. Spam ve Zararlı E-posta Filtreleme

4.1. SpamAssassin Eşik Değerlerini Optimize Edin

SpamAssassin yapılandırmasını düzenleyerek düşük güvenilirlikli e-postaları tespit edebilirsiniz.

Spam seviyesini düşürmek için:

echo "required_score 4.0" >> /etc/mail/spamassassin/local.cf
systemctl restart pmg-smtp-filter

4.2. Heuristic Skorları Ayarlayın

Spam tespitini daha hassas hale getirmek için PMG panelindeki Spam Detector > Options kısmında Heuristic Score değerini 4 veya 5 olarak ayarlayın.

5. Virüs Taraması ve Tehdit Engelleme

5.1. ClamAV Kullanımı

PMG, ClamAV ile entegre çalışır. Güncellemeleri kontrol etmek için:

freshclam
systemctl restart clamav-daemon

Şüpheli dosyaları engellemek için: PMG panelinde Virus Detector > Options sekmesinde Block Encrypted Archives and Documents seçeneğini Yes olarak ayarlayın.

6. Fail2Ban ile Kötü Amaçlı IP’leri Engelleme

Fail2Ban, PMG’ye yapılan saldırıları otomatik olarak engelleyebilir.

Fail2Ban yapılandırması için:

echo "[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=Postfix, port=25,465,587,submission, protocol=tcp]
logpath = /var/log/mail.log
maxretry = 3" > /etc/fail2ban/jail.d/postfix.conf

systemctl restart fail2ban

Bantlanan IP’leri e-posta ile almak için fail2ban.local dosyasına aşağıdaki satırları ekleyin:

[DEFAULT]
destemail = admin@example.com
sender = fail2ban@example.com
mta = mail
action = %(action_mwl)s

Proxmox Mail Gateway, doğru yapılandırıldığında güçlü bir e-posta güvenlik çözümü sunar. Bu kılavuzda yer alan ayarlarla PMG’yi daha güvenli hale getirebilir, spam ve zararlı e-postalarla etkili bir şekilde mücadele edebilirsiniz. Düzenli güncellemeler ve log incelemeleri yaparak sisteminizi güvende tutmayı unutmayın.