Konfigurace poštovního serveru
Poštovní servery tvoří kritickou komunikační infrastrukturu podniků. Správná konfigurace ovlivňuje doručitelnost, bezpečnost, uživatelskou zkušenost i provozní náklady. Tento článek shrnuje osvědčené postupy pro návrh a konfiguraci dvou dominantních platforem: Postfix (open-source MTA pro Unix/Linux) a Microsoft Exchange (on-premises část Microsoft 365 stacku). Soustředíme se na identitu domény (DNS), bezpečnost a anti-spam, transportní topologii, vysokou dostupnost, monitoring a správu životního cyklu zpráv.
Architektura e-mailového ekosystému
- MTA (Mail Transfer Agent): zajišťuje příjem/odesílání pošty (SMTP) – Postfix, Exchange Transport.
- MDA (Mail Delivery Agent): ukládá poštu do schránek (Dovecot, Exchange Mailbox role).
- Klientské protokoly: IMAP/POP3, MAPI/HTTP, Exchange ActiveSync, Outlook Anywhere, webový přístup (OWA/Roundcube).
- Hygiena a bezpečnost: antispam/antimalware, filtrace příloh, DLP, sandboxing.
- Identity a adresář: AD/LDAP, autentizace (Kerberos, NTLM, OAuth2/Modern Auth), adresářové seznamy.
- Periferie: relay pro multifunkční zařízení, fax servery, aplikace generující notifikace.
DNS a doménová identita: základ doručitelnosti
- MX záznamy: pořadí preferencí (nižší priorita = preferováno), směřují na FQDN s A/AAAA (ne CNAME). Uvažujte geografickou redundanci.
- SPF (Sender Policy Framework): TXT záznam popisující, kdo smí posílat poštu za doménu. Konzervativní
-allpo ověření, jinak~all. - DKIM: kryptografický podpis odchozí pošty. Klíče 2048 bit, rotace a více selektorů (např.
s2025,s2026). - DMARC: politika vyhodnocení SPF/DKIM (
p=quarantine→p=rejectpo pilotu),rua/rufreporty pro telemetrii. - MTA-STS & TLS-RPT: vynucení TLS pro příjem pošty a reportování problémů (
mta-stsTXT + HTTPS politika,tlsrptTXT). - DANE pro SMTP: volitelné vázání TLS certifikátu přes DNSSEC (TLSA záznamy) – zvyšuje odolnost proti MITM.
- BIMI/ARC: zlepšení důvěry a zpracování přeposílání; BIMI vyžaduje silnou DMARC politiku.
Bezpečnost transportu a autentizace
- TLS politika: vynucení TLS 1.2/1.3, vypnutí zastaralých šifer, perfect forward secrecy, OCSP stapling pro veřejné služby.
- Submission služby: port 587 (STARTTLS) a 465 (implicit TLS) pro autentizované klienty, oddělené od portu 25.
- Autentizace: Postfix SASL (typicky přes Dovecot), Exchange Modern Authentication (OAuth2) vůči AAD/ADFS, omezení základní autentizace.
- Omezení relay: explicitní seznam zdrojů (statické IP, cert-based), rate-limiting, detekce smyček a bumerangů.
- Filtrace obsahu: antimalware, blokace nebezpečných příloh (např. makra), sandboxing a DLP pravidla pro citlivá data.
Topologie a role v praxi
- Hraniční MTA: terminace TLS, greylisting, RBL, DMARC enforcement, základní filtrace; může být cloudová brána.
- Vnitřní MTA/MDA: doručování do schránek, interní routování, pravidla transportu.
- Hybridní režim: Exchange on-prem + Microsoft 365 (Exchange Online) – centralizovaný transport a jednotná identita.
Postfix: návrh a klíčové konfigurační body
- main.cf – identita a síť:
myhostname,mydomain,myorigin,mydestination,inet_interfaces,inet_protocols(IPv4/IPv6). - Transportní politika:
smtpd_recipient_restrictions,smtpd_client_restrictions,smtpd_sender_restrictions, využitícheck_policy_service(např. greylist). - DNSBL/RBL:
smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org, reject_rhsbl_sender ...s rozumným timeoutem a whitelist. - Submission: v master.cf aktivujte služby
submission/smtpsssmtpd_tls_auth_only=yes. - TLS:
smtpd_tls_security_level=may|encrypt,smtpd_tls_ciphers=high,smtp_tls_security_level= dane|verifydle míry přísnosti. - SASL:
smtpd_sasl_auth_enable=yes, backend Dovecot (smtp_sasl_type = dovecot), vypnout plain bez TLS. - Mapy a tabulky:
virtual_alias_maps,transport_maps,relay_domains– řízení směrování a aliasů. - Antispam/AV integrace: Amavis/Rspamd/ClamAV přes
content_filtera zpětný injekt pomocí smtp v master.cf. - Výkon a queue:
default_process_limit,minimal_backoff_time,maximal_backoff_time,queue_run_delay, oddělení spool/queue na rychlé SSD. - Logování a observabilita: maillog/rsyslog,
postfix-exporterpro Prometheus, pflogsumm pro denní přehledy.
Exchange: návrh, role a transport
- Role: v moderních verzích konsolidace do Mailbox role (obsahuje Transport a Client Access). Edge Transport pro DMZ scénáře.
- Receive/Send Connectors: jasný účel, omezení IP rozsahů, TLS požadavky, maximum velikosti zpráv; zvláštní connector pro zařízení (relay).
- Certifikáty: veřejně důvěryhodné CA pro internetové služby (SMTP, OWA, MAPI/HTTP, Autodiscover). Automatizovat obnovu a rollout.
- Transportní pravidla: klasifikace obsahu, přidávání disclaimers, DLP akce, ochrana před spoofingem a interní politiky.
- Modern Authentication: vypnutí Basic Auth, integrace s Azure AD (Conditional Access, MFA), řízení přístupu podle rizika.
- Mailbox databáze: Database Availability Group (DAG) pro HA, oddělení logů a databází, pravidelná údržba (ESE defragmentace online).
- Antispam/AV: Exchange antimalware agent (základ), typicky doplněn o brány nebo EOP/Defender for Office 365.
- Autodiscover a klienti: korektní DNS, split-brain DNS při on-prem, politiky pro Outlook/ActiveSync, limitace starých protokolů.
Anti-spam a hygiena pošty
- Vrstvený model: reputace (RBL), greylisting, SPF/DKIM/DMARC enforcement, heuristika obsahu, reputace URL, sandboxing příloh.
- Omezení objemu: rate-limits per IP/doménu, limity paralelních SMTP sezení, obrana proti backscatteru a NDR útokům.
- Pravidla obsahu: blokace nebezpečných typů souborů, přejmenování archivu s heslem, karanténa podezřelých zpráv.
- Vzdálené relaye: opatrně s otevřeným relay pro aplikace; autentizovaný submission je preferovaný model.
Vysoká dostupnost, škálování a DR
- Postfix: více hraničních uzlů za anycast či load balancerem; sdílená queue se obecně nedoporučuje – spíše nezávislé uzly + sdílené politiky.
- Exchange: DAG (min. 3 uzly pro quorum), lagged copies pro logické chyby, site resilience, vyhrazená síť pro replikaci.
- DNS a MX: geo-redundance, konzistentní TLS a certifikáty ve více lokalitách.
- DR plán: opakované testy přepnutí (table-top + technický), dokumentované RTO/RPO a runbooky.
Compliance, retence a eDiscovery
- Retenční politiky: pravidla mazání/archivace, právní holdy, audit přístupů.
- Journaling: kopie vybrané komunikace do nedotknutelného úložiště (WORM), např. pro finanční a veřejné instituce.
- DLP: detekce unikání osobních/finančních dat, šablony pro regulace (GDPR, PCI DSS), šifrování na úrovni obsahu (S/MIME, RMS).
Provozní metriky a observabilita
| Oblast | KPI / Metoda | Účel | Cílový trend |
|---|---|---|---|
| Doručitelnost | Bounce rate, DMARC aggregate | Detekce blokací a spoofingu | Snižovat |
| Bezpečnost | Spam catch rate, malware hit rate | Účinnost hygieny | Zvyšovat |
| Výkon | Queue length, SMTP latency | Kapacitní plánování | Stabilizovat |
| Spolehlivost | MTBF/MTTR, SLA | Dostupnost služeb | Zlepšovat |
Adresace, aliasy a směrování
- Virtuální domény (Postfix):
virtual_mailbox_domains, aliasing přesvirtual_alias_maps, catch-all pouze výjimečně. - Exchange adresní politiky: EAP pro více domén, standardizace primární adresy a aliasů.
- Směrování výjimek:
transport_maps(Postfix) a Send Connector scoping (Exchange) pro specifické domény/partnery.
Podpora IPv6 a internacionalizace
- IPv6: dvojí stack, reverzní DNS (PTR), reputace; udržujte konzistenci SPF pro AAAA destinace.
- SMTPUTF8/IDN: podpora internacionalizovaných adres a domén, kontrola kompatibility s partnery.
Integrace zařízení a aplikací (relay, notifikace)
- Bezpečný relay: vyhrazený konektor/port, omezení na IP, případně klientské certifikáty. Nesdílejte s veřejným SMTP.
- Rate limiting: ochrana proti lavině notifikací z aplikací, backoff politiky, karanténa chybových zpráv.
Nejčastější chyby a jak se jim vyhnout
- Nekonzistentní DNS: chybějící A/AAAA pro MX, špatné PTR; řešení: validujte před nasazením, automatizujte testy.
- Slabé TLS: povolené zastaralé šifry; řešení: bezpečnostní baseline a pravidelné revize.
- Otevřený relay: chybné Receive/Send Connectors; řešení: princip minimálních oprávnění, testy zvenku.
- Špatná DMARC politika: předčasný
p=rejectbez monitoringu; řešení: postupný přechod, analýza RUA reportů. - Monolit bez HA: jediný MTA/MBX bez zálohy; řešení: minimální redundantní topologie a DR cvičení.
Testování, validace a uvedení do provozu
- Pre-prod validace: kontrola MX/SPF/DKIM/DMARC, TLS skóring, simulace selhání (výpadek brány, plná queue).
- Pilot provoz: postupné přepínání malých skupin, sledování doručitelnosti a reputace (bounce, blocklisty).
- Runbooky: standardní postupy pro incidenty (zastavení přijmu, odpojování konektorů, flush queue, roll-back certifikátu).
Konfigurační doporučení – shrnutí
- Oddělte SMTP(25) a submission(587/465), u submission vyžadujte silné TLS a MFA/Modern Auth.
- Prosazujte SPF, DKIM, DMARC a zapněte MTA-STS/TLS-RPT; u klíčů DKIM používejte 2048 bit a rotaci.
- Vrstvěte ochrany: RBL + greylist + obsahová analýza + sandboxing + DLP.
- Plánujte kapacitu a HA: více uzlů MTA, DAG pro Exchange, geo-redundantní MX.
- Monitorujte, měřte, reagujte: queue, latence, chybovost, DMARC reporty, bezpečnostní události.
Závěr
Správně navržený a nakonfigurovaný poštovní server je výsledkem koordinace DNS identity, bezpečnostních mechanismů, transportních pravidel a provozních procesů. Postfix nabízí vysokou flexibilitu a škálovatelnost v Unixovém světě, Exchange poskytuje hlubokou integraci do ekosystému Windows/AD a Microsoft 365. Volba platformy a konkrétní architektury by měla vycházet z požadované úrovně řízení identity, compliance, dostupnosti a z provozních dovedností týmu. Dlouhodobý úspěch stojí na průběžné automatizaci, observabilitě a důsledném řízení změn.
