Jak zprovoznit emailový server, část 6: Zabezpečení, přesměrování portů a nastavení poštovních klientů

Zobrazení: 181

Závěrečný článek seriálu o zprovoznění e‑mailového serveru se bude věnovat nastavení firewallu, přesměrování portů na routeru a základní konfiguraci poštovních klientů. Nechybí ani tipy pro zabezpečení serveru, monitoring a ověření doručitelnosti. Čtenář tak získá kompletní přehled pro úspěšný a bezpečný provoz vlastního e‑mailového serveru.

Úvod

Poslední článek seriálu o zprovoznění e‑mailového serveru shrnuje všechny důležité kroky, které vedou k bezpečnému a funkčnímu provozu vlastní pošty. Čtenář se dozví, jak otevřít a přesměrovat potřebné porty, správně nastavit firewall, ochránit server pomocí fail2ban a nakonfigurovat poštovní klienty. Nechybí ani tipy pro monitoring a ověření funkčnosti.

Povolení portů ve firewallu (UFW)

Pro správný chod e‑mailového serveru je nutné povolit následující porty na serverovém firewallu (UFW):

sudo ufw allow 25/tcp    # SMTP – příchozí pošta
sudo ufw allow 587/tcp   # Submission – odesílání pošty z klientů
sudo ufw allow 993/tcp   # IMAPs – šifrované čtení pošty
sudo ufw allow 995/tcp   # POP3s – šifrované čtení pošty
sudo ufw allow 443/tcp   # HTTPS – autodiscover, certbot, případné webové rozhraní
sudo ufw enable

Kopírovat příkaz

Přesměrování portů na routeru (NAT/PAT)

Pokud je server za domácím routerem, je nutné v jeho rozhraní nastavit přesměrování (NAT) těchto portů na vnitřní IP adresu serveru (například 192.168.1.110):

• 25 (SMTP)
• 587 (Submission)
• 993 (IMAPs)
• 995 (POP3s)
• 443 (HTTPS)

Každý výrobce routeru má rozhraní jiné, obvykle se funkce jmenuje „Port forwarding“ nebo „Virtual Server“.

Ochrana serveru s fail2ban

Fail2ban je nástroj, který chrání server před útoky na hesla (brute-force). Sleduje logy (například poštovního serveru nebo SSH) a automaticky dočasně zablokuje IP adresy, ze kterých se někdo opakovaně neúspěšně pokouší přihlásit.

Instalace fail2ban na Ubuntu:

sudo apt update
sudo apt install fail2ban

Kopírovat příkaz

Základní aktivace ochrany pro Postfix a Dovecot:

Vytvořte nebo upravte soubor /etc/fail2ban/jail.local a přidejte následující sekce:

[postfix]
enabled  = true
port     = smtp,ssmtp,submission
logpath  = /var/log/mail.log
bantime  = 3600
findtime = 600
maxretry = 5

[dovecot]
enabled  = true
port     = pop3,pop3s,imap,imaps,submission,465,sieve
logpath  = /var/log/mail.log
bantime  = 3600
findtime = 600
maxretry = 5

Kopírovat konfiguraci

Po úpravě souboru je třeba službu fail2ban restartovat:

sudo systemctl restart fail2ban

Kopírovat příkaz

Správa a ověření funkce fail2ban:

• Stav služby: sudo systemctl status fail2ban
• Aktivní ochrany: sudo fail2ban-client status
• Stav konkrétní ochrany (například dovecot): sudo fail2ban-client status dovecot
• Odbanování IP adresy: sudo fail2ban-client set dovecot unbanip 1.2.3.4

Fail2ban běží automaticky po startu systému a změny konfigurace se uplatní po restartu služby.

Základní zabezpečení serveru

• Pravidelně aktualizujte systém:

  
  sudo apt update && sudo apt upgrade
  

  Kopírovat příkaz
• Používejte silná hesla a vypněte všechny nepotřebné služby na serveru.
• Doporučuje se zálohovat konfiguraci i poštu (například pomocí rsync).

Typická konfigurace poštovních klientů

Pro účet info@vasedomena.cz použijte tyto údaje:

Typ	Server	Port	Šifrování
Příchozí (IMAP)	mail.vasedomena.cz	993	SSL/TLS
Příchozí (POP3)	mail.vasedomena.cz	995	SSL/TLS
Odchozí (SMTP)	mail.vasedomena.cz	587	STARTTLS

Uživatelské jméno: info@vasedomena.cz
Heslo: vámi zvolené heslo

Ověření funkčnosti a monitoring

• Ověřte dostupnost portů například na YouGetSignal.
• Funkčnost e‑mailového účtu ověřte v klientu Thunderbird, Outlook nebo na mobilním telefonu.
• Doručitelnost a reputaci serveru lze zkontrolovat na mail-tester.com.
• Pravidelně kontrolujte logy serveru (/var/log/mail.log), fail2ban (/var/log/fail2ban.log) a zálohujte důležitá data.

Závěr

Tímto je kompletní průvodce zprovozněním, zabezpečením a správou vlastního e‑mailového serveru na doméně vasedomena.cz dokončen. Dodržení všech kroků v tomto seriálu zajišťuje bezpečný a spolehlivý provoz poštovního serveru i s ohledem na dlouhodobou správu a prevenci před útoky.

---

• Předchozí článek: Jak zprovoznit emailový server, část 5: Typické chyby a jejich řešení
• Následující článek: Terminálové prohlížeče Internetu pro Raspberry
• Všechny články rubriky