Mail Sunucusu Güvenliği ve Hosting Hakkında Tavsiyeler

Merhaba BTT ailesi,

Kendi e-posta adreslerimi oluşturmak için bir alan adı satın aldım. Ancak evde bir sunucu kurup interneti dışarı açmanın tehlikeli olduğunu biliyorum. Yusuf İpek’in videosunu izledim; orada bir hosting sağlayıcısından sunucu kiralamanın daha güvenli olduğunu öneriyor.

Bu konuyla ilgili bazı detayları buradan öğrenmek istiyorum:

  1. Sunucu kiraladığımızda e-posta adresleri açısından güvenlik ne kadar sağlanabilir?
  2. Sunucuyu kiraladıktan sonra, hem genel sunucu güvenliğini hem de e-posta adreslerimin güvenliğini nasıl sağlayabilirim?

Bu süreçte izlemem gereken en doğru adımlar nelerdir?

Mail sunucusu konusunda hiçbir bilgi veya tecrübeye sahip değilim. Domain adım mevcut, ancak henüz bir hosting şirketinden sunucu kiralamadım ve bu konuyla ilgili adımlara başlamadım. Domain adımı ODTÜ Vakfı üzerinden satın aldım.

Önerilerinizi, yardımlarınızı ve desteklerinizi bekliyorum.

Teşekkür ederim

Son düzenleyen: @wise 2024-12-06T13:52:30Z

3 Likes

VPS/VDS şifrenizi güçlü yapacaksınız. Zaten güncel olarak kaba kuvvet’e karşı olarak Fail2Ban gibi servisleri çoğu hosting firmasının sunucularında varsayılan olarak geliyor. Çoğu firmanın yetkisiz erişimi engellemek için farklı güvenlik engelleri olabiliyor.

SSH’de 22 portunu kapatıp yerine 1024-49151 aralığında bir port seçebilirsin. Buda rastgele gelen bot saldırılarını engelleyecektir.

Mail sunucunuza Cloudflare ile ek bir güvenlik katmanı ekleyebilirsiniz.

Örneğin mail.ornek.com’a giren birisi önce ornek.cloudflareacces.com’a yönlendirilip burada kimliğini doğruladıktan sonra mail.ornek.com’un arayüzü ile karşılaşır. Bu şekilde e-posta sunucunuza 2. bir güvenli katmanı eklemiş olursunuz.

Böyle şeyler bana biraz absürt geliyor “normal” bir kullanıcı için. Yani eğer göz önünde olan biri değilseniz, (Burada bahsetmek istediğim ünlüler, siyasi figürler, gazeteci yada araştırmacı gibi insanlar) size karşı kurgulanmış bir saldırı olacağını düşünmüyorum. Tabii tedbiri elden bırakmamak gerekiyor, örneğin şirketiniz için kuruyorsanız posta sunucusunu, en basitinden gelen e-postalarda bulunan her dosyayı açmayacaksınız/indirmeyeceksiniz :slight_smile:

4 Likes

Adım adım bana yardımcı olabilir misiniz mail sunucusu için konudan çok uzağım?

hostingdünyamdan yapıyorsanız videoya göre gidince şifre gelen her ekranda rastgele şifreler oluştur bunların yazılımları var ve her birini password managera kaydet root şifresi vesairede dahil SSH konusu ise gene videoda vardı oradaki gibi yapabilirsin fail2ban aktif mi geliyor aktif etmek mi gerekiyor bende bilmiyorum ama hostingi aldığınız yere sorabilirsiniz canlı desteğe falan cloudflare işlemi nasıl oluyor bilmiyorum son olarak bu işler için açtığınız hesaplarda varsa 2FA açın authentication+yedek kod şeklinde.

1 Like

Hosting dünyam dan sunucu alacaktım ama ne yapacağımi bilmiyorum. Evde sunucu olusururmak modemi dışarı açtığımız için güvenlik zaafiyeti olusturuyor. Bende araştirma yaparken tailscole ile karşılaştım evde bunu kurarak sunucumuzu dışarı açıp kullanım yapabiliyoruz. Tailscole güvenlik açısından sakincilari var mı bunu bilen var mi

Homeserver kesinlikle tavsiye etmem ben.
Mail çok çok hassas bilgiler taşıyor ve erisiminizin kesilmesi büyük bir sorun.
Alan adınız varsa benim gibi [email protected] şeklinde cloudflare ile yönlendirme ekleyebilirsiniz.

Ben bu şekilde kullanıyorum ve memnunum güvenlik konusunda birşey diyemem gerçi…

1 Like

5 yıllık bir alan adı aldım var. Vps kiralamam ve cloudflare yönlendirmemi yoksa evde sunucu barindirip tailscole ile dışarı açıp ve bunu cloudflare’ye mi yonlendirmemden bahsediyorsunuz. Ne yapmalıyım?

Lütfen bana bu konuda uyardımcı olabilir misiniz? Guvenli bir mail sunucumu oluşturmak istiyorum.
@wise

1 Like

Cloudflare’nin Proxyleme özelliğini ve Zero Trust’ı Mail sunucusunda kullanamazsınız. Kastım bir webmail arayüzü değil postaların alınıp gönderilirken kullanılacağı yer yani direkt mail subdomaini. Ayrıca IP adresinizi gizlemenize yardımcı olan diğer bilimum yöntem de mail sunucusunun (self hosted) mantığına aykırı olduğu için imkan bulamayacaktır. Kendi evinizde bunu kurmanız gerek sabit bir IP’ye ihtiyacınızın olması gerek de hız ve rDNS ayarlarken size sorun çıkaracaktır. Bu yüzden bir sunucu kiralayıp bunu yapmak en doğrusu olur.

Hali hazırda domain adresiniz varmış. Mevcut TLD’lerden birini kullandığınızı varsayıyorum. Şimdiki adımınız hosting için bir çözüm VPS/VDS edinip sonrasında eğer arayüze ihtiyacınız yok ise emailwiz ile kurulum yapmak. Bu scripti önermemizin sebebi hem kurulumu kolay hem de çok çok çok az kaynak istiyor. Yani en düşük özellikli sunuculara bile kurulabiliyor. Arayüz olsun bir ekran göreyim derseniz o zaman ram ve cpu ihtiyacı çok artabiliyor. Bir de herhangi bir web arayüzünün olmaması sizi birçok saldırı yöntemine karşı rahat kılıyor.

SSH konfigürasyonunuzu güzel yaptıktan ve güçlü bir şifre/key kullandıktan sonra geriye tek kalan sistemi güncel tutmak. Biraz daha rahat olsun kafam derseniz ek yazılımlar mevcut (mesela crowdsec) fakat kaynak yönetiminde sorun olur mu ondan emin değilim.

1 Like

Öyle ise bir Hosting kiralamaya net olarak karar verdim buraya kadar şimdi kararım netleşmiş oldu. Sunucu kiraladıkran sonra güvenilik sağlama kaygılarım vardı ve sizin söylediğinize göre mail sunucusu için Cloudflare kullanılamaz. Anladığım kadarıyla site barındırmış olsam ve Cloudflare tam bu noktada devrede sanırım. Kiralayacağım mail sunucusunun güvenliği için fazla birşey yapmama gerek yok sunucuda SSH ayarlarını yapmam yeterli. Mail adresimin saldırıya ve başka birşeye karşı korumada kaygılıyım diye teyit etmek istiyorum :slight_smile: . Crowdsec dediniz bunuda entegre edersem yeterli midir gerçekten? @wise

Aldığımız hizmet karşılığında ne veriyoruz diye düşünmek lazım. Mesela en düşük paketlerden birini alıp sonra da saldırılara karşı %100 koruma nasıl sağlarım dersek makul olmaz. Cloudflare olmayacağı için ve bundan bağımsız her sunucuya uğrayan botlar size de uğrayacağından belirli bir oranda istenmeyen ziyaretçiniz hep olacak.

Benim varsayımım birinin sizi bilinçli olarak hedef almadığı bir durumda normal kurulum veya isteğe ve pakete göre Crowdsecli kurulum işinizi büyük oranda görecektir. Bunu nerden biliyorum daha önce kurulum yaptığımız arkadaşlarımızdan.

Tehdit modelinizi çok yüksek tutuyorsanız ona göre bir çözüm düşünmeniz gerekecektir.

2 Likes

tüm çekincelerimin cevabını verdiniz size teşekkür ediyorum emeğinize sağlık. şimdi heşey netleşti. hosting firmaları olarak güzelhosting, hostingdünyam, hostinger ve hentzer arasından da tercih yapacağım. direk öneride bulunmak istemezseniz bile a firmasını tercihleriniz arasından çıkarın kalanlardan herhangibiri ile devam edin dediğiniz var mı

Daha önce şahsi olarak güzelhosting’i ve onun ödediğin kadar kullan tarzındaki ikinci firmasını kullandım. Hetzner’i tanıdığım bir arkadaşım kullanıyor. Hostingdünyamda ise BTT’nin forum/mail sunucuları barınıyor. Dolayısıyla bu firmalara ilişkin anlık olumsuz bir geri dönüşüm yok.

Fakat sunucunun konumu belki sizin için önem arz edebilir. Bunu bir etken olarak düşünebilirsiniz. İkincisi aynı firmadan hizmet alıp (ister mail ister genel olarak) memnun olup olmayanları internetten/forumdan kısaca bir bakabilirsiniz. Fakat bunlardan hangisini seçerseniz seçin size ilk IP ataması yapıldığı anda hiç zaman kaybetmeden bu IP’nin Spam listesinde mevcut olup olmadığına bakmanızı tavsiye ederim. Çünkü kurulum yaptım ettim dedikten sonra bu uyarıyı görmek ve kaldırmaya çalışmak daha can sıkıcı oluyor. İlk başta farkederseniz müşteri hizmetlerine yazıp belki IP değiştirtebilirsiniz.

1 Like