23 Jahre aus Stockholm
Operator-Notizen · Aus dem Stockholm-Büro

Server-Hardening Grundlagen für E-Mail-Workloads

E-Mail-Server sind hochwertige Angriffsziele. 5-Schichten-Hardening (Netzwerk, SMTP-Service, TLS, Patches, Monitoring) mit BSI IT-Grundschutz-Bezug für DACH-Operationen.

E-Mail-Server sind hochwertige Angriffsziele — sie haben oft direkten Internet-Zugang, verarbeiten Daten von externen Quellen und können bei Übernahme als Spam-Schleuder oder für Daten-Exfiltration missbraucht werden. Server-Hardening für E-Mail-Workloads ist daher kein optionales Sicherheits-Add-on, sondern grundlegende operative Praxis.

Bedrohungs-Modell für E-Mail-Server

  • Open Relay Missbrauch: Angreifer nutzen Ihren MTA für Spam. Konsequenz: Reputations-Verlust.
  • SMTP-AUTH-Brute-Force: bei Erfolg voller Versand-Zugriff.
  • Bekannte Software-Lücken: ungepatschte CVEs in Postfix, Exim, OpenDKIM.
  • SSH-Brute-Force: Standard-Angriff auf Port 22.
  • Konfigurations-Fehler: offene Services, permissive Firewall-Regeln.

Schicht 1: Netzwerk-Hardening

# UFW-Beispiel auf Ubuntu
ufw allow 2222/tcp comment 'SSH'
ufw allow 587/tcp comment 'SMTP submission'
ufw allow 465/tcp comment 'SMTPS'
ufw allow out 25/tcp comment 'SMTP outbound'
ufw default deny incoming
ufw default allow outgoing
ufw enable

SSH absichern

# /etc/ssh/sshd_config
Port 2222
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
ClientAliveInterval 300

Plus Fail2ban für SSH und SASL-Failures:

# /etc/fail2ban/jail.local
[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 3600

[postfix-sasl]
enabled = true
port = 587,465
maxretry = 5
bantime = 7200

Schicht 2: SMTP-Service-Hardening

# /etc/postfix/main.cf
smtpd_recipient_restrictions = 
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

smtpd_sender_restrictions = 
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain

smtpd_helo_required = yes
smtpd_client_connection_rate_limit = 30
smtpd_banner = $myhostname ESMTP
mail_name = Mail Server

SMTP-AUTH absichern

  • Nur PLAIN/LOGIN über TLS — keine Klartext-Authentifizierung
  • Lange, randomisierte Passwörter (32+ Zeichen)
  • Pro Anwendung eigenes SMTP-User
  • Fail2ban-Filter für SASL-Failures
  • Rotation alle 6-12 Monate

Schicht 3: TLS-Konfiguration

# /etc/postfix/main.cf TLS
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/letsencrypt/live/mta.ihr-unternehmen.de/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mta.ihr-unternehmen.de/privkey.pem
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, RC4

Für maximale Sicherheit MTA-STS konfigurieren — zwingt Empfänger zu TLS mit Certificate-Validation:

# DNS-Eintrag
_mta-sts.ihr-unternehmen.de. IN TXT "v=STSv1; id=20260101000000Z"

# HTTPS-Endpoint
https://mta-sts.ihr-unternehmen.de/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mta1.ihr-unternehmen.de
max_age: 604800

Schicht 4: Patch-Management

  • Automatisierte Security-Updates: unattended-upgrades für Security-Patches
  • Manuelles Review für Major-Versions: Postfix 3.x → 4.x mit Tests
  • CVE-Monitoring: Subscribe zu Postfix/Exim Security-Mailing-Listen
  • Patch-Window: definierte Wartungs-Fenster mit Rollback-Plan

Schicht 5: Monitoring und Audit-Logs

# Wichtige Log-Quellen
/var/log/mail.log              # Allgemeine SMTP-Events
/var/log/mail.err              # Fehler-Log
/var/log/auth.log              # SSH-Logins, sudo
/var/log/fail2ban.log          # Blocked IPs
/var/log/audit/audit.log       # File-Access, Konfig-Änderungen

Logs sollten zentralisiert in SIEM oder Log-Aggregation (Graylog, Loki, Splunk) — lokale Logs sind bei Server-Kompromittierung möglicherweise manipuliert.

DACH-spezifische Compliance-Aspekte

BSI IT-Grundschutz: Bausteine APP.5.3 (E-Mail-Server) definiert spezifische Hardening-Anforderungen.

DSGVO Art. 32: technische und organisatorische Maßnahmen — Verschlüsselung in Transit, Zugangs-Kontrolle, Pseudonymisierung wo möglich.

Branchenspezifische Standards: BAIT (Banken), VAIT (Versicherungen), KAIT (Kapitalverwaltungsgesellschaften).

Self-Hosting vs. gemanagter Service

Bei Self-Hosting tragen Sie volle Hardening-Verantwortung. Bei gemanagten Services übernimmt der Anbieter Infrastruktur-Hardening, Sie behalten Konfigurations-Aspekte (SMTP-AUTH-Credentials, Anwendungs-Rate-Limits).

Bei Authorize Hosting ist Server-Hardening Bestandteil des Standard-Services — wir betreiben unsere MTA-Infrastruktur nach BSI IT-Grundschutz mit dokumentierter Patch-Pipeline und Audit-Log-Aggregation. Compliance-Dokumentation auf Anfrage für Ihre eigenen Audits verfügbar.

Server-Hardening für Ihre E-Mail-Infrastruktur prüfen?

Bei Authorize Hosting wird unsere Infrastruktur nach BSI IT-Grundschutz mit dokumentierter Patch-Pipeline und Compliance-Dokumentation für Ihre Audits betrieben.