Postfixのセキュリティ強化

友人のメールサーバのセキュリティ強化を行ったときのメモです。

SMTP の VRFY コマンドを使用不可にする

[設定内容]
disable_vrfy_command = yes

[解説]
EXPN コマンドによってシステムアカウントの有無を確認することができます。また、VRFYはメールアカウントが存在するかどうかを確認するもので存在していればそのユーザー名を表示します。EXPN、VRFYを使うとアカウントの情報が外部から容易に確認することができてしまうので、このような情報はできるなら表示させないようにします。

設定後のログは以下の通り。

220 mail.hoge.co.jp ESMTP unknown
EHLO localhost
250-mail.hoge.co.jp
250-PIPELINING
250-SIZE 104857600
250-ETRN
250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5
250 8BITMIME
VRFY hoge
502 VRFY command is disabled <- VRFYコマンドは無効

[参考サイト]
Postfixによるメールサーバーの構築