Winmail 安全设置指南


Winmail 默认设置就可以正常运行,不过经过进一步设置后,系统将更加安全,包括防服务攻击、防信息泄漏,以下设置是按照 6.3 版本的, 老版本的系统建议升级。

1. 关闭非 SSL 服务

    a. 进入"系统设置"/"系统服务", 将 POP3 和 IMAP 服务设置 "不自动运行",并停止服务。
    b. 进入"系统设置"/"SMTP 设置"/"基本参数", 选中 "支持 STARTTLS 命令(SSL/TLS 传输)" 和 "禁止明文认证",这样使用 25、587 SMTP 端口时客户端要使用 SSL 命令。
    c. 进入"系统设置"/"SMTP 设置"/"外发递送", 选中 "远程服务器支持 STARTTLS 时,启用 SSL/TLS 连接"。

    d. Webmail 仅使用 https,进入"系统设置"/"系统服务", 将 HTTP 服务设置 "不自动运行",并停止 HTTP 服务,这样就只能通过 https 访问 Webmail, 或者保留 http 服务,修改网页文件,访问 http 时自动跳转 https,参考 如何让用户访问 http 80 端口自动跳转到 https 443 端口?

    e. 防火墙或者路由器开放端口设置关闭非SSL端口,开放 25,587,465,993,995,80,443,其他端口不开放,参考 Winmail 服务器要对外开放那几个端口?
    f. 使用 SSL 加密端口连接时,客户端会校验 Winmail 服务器的证书,默认的自发证书会有警告,可以申请正式证书,参考 Winmail 安装正式SSL服务器证书

经过上面设置后,使用邮件客户端设置帐号时要选择 SSL,可以参考 Outlook 2016 加密协议连接


2. 防猜解、防攻击

    进入"系统设置"/"高级设置"/"系统参数",在"基本参数"里,启用"猜密码检测",可以按照下图设置:

    winmail

    [白金版] 进入"反垃圾设置"/"SMTP 过滤",选择"启用流量控制",将"本系统内邮箱用户每小时发送的收件人数"设置为 100
winmail

3. 邮箱用户密码和其他安全设置

    a. 邮箱用户密码太简单会导致被猜解并利用来发垃圾邮件,导致系统运行缓慢、外网ip被加黑名单,可以启用密码策略,
        进入"域名设置",设置系统里域名属性里的"默认密码策略",建议"密码强度检查"设置为"中",密码长度必须不小于 8

    b. 进入"系统设置"/"高级设置"/"系统参数"/"系统报表",设置接收系统报表的邮箱,选择报表类型,可以收到系统日常运行信息。
    c. 系统各服务欢迎信息也和安全有关,进入"系统设置"/"高级设置"/"系统参数"/"基本参数",将"服务欢迎信息"设置成
            {ALL}MailServer %SERVICE% Ready{/ALL}
    d. 进入"系统设置"/"高级设置"/"系统参数"/"LDAP 配置",确定 "允许匿名访问(读取信息)" 没有选中。
    e. 默认 Webmail 登录页有 Web 管理的链接,可以进入"系统设置"/"高级设置"/"Webmail 设置"/"首页设置"里关闭。
    f. 异地登录提醒,进入"系统设置"/"高级设置"/"Webmail设置"/"登陆后设置" 里选择 "启用异地登录提醒", 刚上线时阶段,提醒邮件会比较频繁,系统会搜集一个邮箱登录的10个最后的来源地,所以等一段时间后提醒邮件会减少, 还有如果使用手机登录,由于运营商出口 ip 多,来源地只供参考, 如果要关闭提醒,邮箱用户可以登录 Webmail,在 "配置箱"/"使用偏好" 中关闭 。


4. [可选项] 关闭不安全的 SSL,TLS 版本

    这部分可以不修改,因为没有实际危害,如果为了通过安全扫描软件的测试,可以设置,修改相关配置文件前要先备份

修改 ~/server/data/system.cfg 文件用记事本打开

<ssloption>
<ssl2>0</ssl2>
<ssl3>1</ssl3>
<tls1>1</tls1>
<tls11>1</tls11>
<tls12>1</tls12>
<cipher>ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM</cipher>
</ssloption>
修改为
<ssloption>
<ssl2>0</ssl2>
<ssl3>0</ssl3>
<tls1>0</tls1>
<tls11>1</tls11>
<tls12>1</tls12>
<cipher>ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM</cipher>
</ssloption>
修改 ~/server/http/httpd.tpl 文件用记事本打开

#HTTPSSL# SSLProtocol -ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
修改为
#HTTPSSL# SSLProtocol -ALL +TLSv1.1 +TLSv1.2
修改保存后,将 Winmail 重启一下,如果使用发现问题可以恢复备份文件。

5. 其他

    垃圾邮件会带来很多安全问题,可以参考 Winmail 反垃圾邮件指南 设置。
    部分病毒是通过邮件传播的,可以参考 Winmail 和杀毒引擎配合 设置。
    发送邮件加密码,可以参考 Winmail 邮件加密码
    系统邮件归档和系统备份,可以参考 Winmail 系统邮件归档功能Winmail 系统数据备份与恢复
    系统双机方案 Winmail 双机热备群集方案

6. 关注 Winmail 新版本和更新补丁

    建议尽量升级到最新版本,可以访问 www.magicwinmail.com 了解新版本信息和安全补丁公告,
也可以扫描下面的二维码关注 Winmail 微信公众号,及时收到新版本和安全补丁公告。