Debian邮件服务器更新维护

Debian邮件服务器更新与维护实操手册

一 维护总览与周期安排

• 日常维护
  • 执行系统与安全更新：sudo apt update && sudo apt upgrade，关注并尽快应用安全补丁。
  • 检查服务状态：sudo systemctl status postfix dovecot（或 exim4）。
  • 日志巡检：重点查看 /var/log/mail.log，必要时配合 logwatch 做日报。
  • 资源与健康：用 free -m、df -h、uptime、top/htop、iostat、vmstat、netstat 观察内存、磁盘、负载与连接。
  • 备份：定期备份 /etc/postfix、/etc/dovecot 及用户邮箱数据，变更前必做回滚点。
• 每周/每月
  • 安全加固复核：SSH 密钥登录、禁用 root 远程登录、防火墙仅放行必要端口。
  • 反垃圾与反暴力：Fail2Ban 防暴破，Postgrey 灰名单。
  • 邮件合规与投递率：SPF、DKIM、DMARC 记录检查与优化。
  • 配置基线：使用 Ansible/Puppet/Chef 管理配置，保证一致性与可回滚。

二 安全加固与访问控制

• 基础系统安全
  • 仅允许 SSH 密钥 登录，设置 PermitRootLogin no；用 UFW 或 iptables 实施最小端口放行。
  • 常用放行端口示例：SSH 22/tcp、SMTP 25/tcp、SMTPS 465/tcp、Submission 587/tcp、IMAP 143/tcp、IMAPS 993/tcp、POP3 110/tcp、POP3S 995/tcp。
• 邮件传输与身份认证
  • 启用 TLS/SSL：Postfix 与 Dovecot 配置证书与密钥，强制或优先加密传输。
  • 强化认证：Dovecot 提供 IMAP/POP3 安全认证，Postfix 与 Dovecot 联动 SASL 完成登录校验。
• 反垃圾与反暴力
  • 部署 Fail2Ban 监控邮件与 SSH 日志，自动封禁恶意 IP。
  • 使用 Postgrey 实施灰名单策略，降低垃圾邮件命中率。

三 日常更新与补丁流程

• 变更前
  • 备份关键数据与配置：/etc/postfix、/etc/dovecot 与邮箱存储；准备回滚方案。
  • 阅读发行说明与变更日志，评估对邮件服务的影响。
• 执行中
  • 更新索引与升级：sudo apt update && sudo apt upgrade；内核或重大组件变更用 sudo apt full-upgrade。
  • 清理无用包：sudo apt autoremove -y；必要时 sudo apt clean。
  • 重启服务或系统：如内核/库更新后 sudo reboot；仅组件更新则 sudo systemctl restart postfix dovecot。
• 变更后
  • 验证服务：sudo systemctl status postfix dovecot，查看 /var/log/mail.log 是否有报错。
  • 发送/接收测试：用命令行或客户端验证 SMTP/IMAP/POP3 功能与加密链路。

四 组件升级与版本迁移

• 同版本内的组件升级（以 Postfix/Dovecot 为例）

  • 备份配置：sudo cp -R /etc/postfix /etc/postfix.bak；sudo cp -R /etc/dovecot /etc/dovecot.bak。
  • 检查可用版本：apt policy postfix dovecot-core。
  • 仅升级邮件组件：sudo apt install --only-upgrade postfix dovecot-core dovecot-imapd dovecot-lmtpd。
  • 重启服务并验证：sudo systemctl restart postfix dovecot；sudo systemctl status …。

• 跨 Debian 版本升级（示例从 10 Buster 到 11 Bullseye）

  • 准备与评估：全量备份、检查依赖、在测试环境演练。
  • 更换软件源：将 /etc/apt/sources.list 中的代号替换为目标版本（如 buster → bullseye）。
  • 执行升级：sudo apt update && sudo apt full-upgrade -y，随后 sudo apt autoremove -y。
  • 重启与验证：sudo reboot，用 lsb_release -a 确认版本；按需调整 Postfix/Dovecot 配置并重启服务。

五 监控 日志 与备份恢复

• 监控与告警
  • 资源与进程：top/htop、free -m、df -h、iostat、vmstat、netstat、uptime；异常时结合 Nagios/Zabbix 做阈值告警。
  • 日志审计：日常巡检 /var/log/mail.log，使用 logwatch/auditd/syslog-ng 做汇总与审计。
• 备份与恢复
  • 备份策略：定期备份 /etc/postfix、/etc/dovecot 与用户邮箱数据；变更前必备份，保留多份与异地副本。
  • 恢复演练：定期验证备份可用性与恢复流程，确保 RPO/RTO 达标。