Les attaques par déni de service distribué (DDoS) sont une menace constante pour les serveurs de messagerie web, pouvant rendre les services inaccessibles à vos utilisateurs. Heureusement, une configuration appropriée du pare-feu sur votre serveur Debian 12 peut grandement contribuer à atténuer ces risques. Ce guide détaillé vous fournira des informations et des commandes spécifiques pour configurer votre pare-feu et protéger vos serveurs de messagerie web contre les attaques DDoS.

Étape 1 : Installation de UFW

UFW (Uncomplicated Firewall) est une interface simplifiée pour iptables, rendant la configuration du pare-feu moins complexe. Bien que Debian 12 soit équipé de nftables par défaut, UFW reste une option populaire pour sa simplicité. Pour installer UFW, exécutez :

sudo apt update && sudo apt install ufw -y

Étape 2 : Configuration des règles de base

Avant d’activer UFW, configurez les règles de base pour permettre le trafic entrant sur les ports utilisés par votre serveur de messagerie. Par exemple, pour un serveur de messagerie standard, vous devrez peut-être ouvrir les ports SMTP (25), IMAP (143 ou 993 pour IMAP sécurisé), et POP3 (110 ou 995 pour POP3 sécurisé) :

sudo ufw allow 25/tcp
sudo ufw allow 143/tcp
sudo ufw allow 993/tcp
sudo ufw allow 110/tcp
sudo ufw allow 995/tcp

Étape 3 : Activation de UFW

Une fois les règles configurées, activez UFW :

sudo ufw enable

Vérifiez le statut de UFW pour vous assurer que les règles sont correctement appliquées :

sudo ufw status verbose

Étape 4 : Limitation des tentatives de connexion

Pour protéger davantage votre serveur contre les attaques DDoS, utilisez la fonctionnalité de limitation de UFW, qui bloque les adresses IP essayant de se connecter trop souvent dans un court laps de temps :

sudo ufw limit 25/tcp
sudo ufw limit 143/tcp
sudo ufw limit 993/tcp
sudo ufw limit 110/tcp
sudo ufw limit 995/tcp

Cette approche est particulièrement utile pour atténuer les attaques par force brute.

Étape 5 : Utilisation de Fail2Ban

Pour une couche de sécurité supplémentaire, envisagez d’installer Fail2Ban, un outil qui scanne les fichiers journaux et bannit les adresses IP montrant des signes d’attaques malveillantes :

sudo apt install fail2ban -y

Configurez Fail2Ban pour surveiller les tentatives de connexion à votre serveur de messagerie en créant un fichier de configuration personnalisé :

sudo nano /etc/fail2ban/jail.local

Ajoutez une section pour chaque service de messagerie que vous souhaitez protéger, par exemple :

[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
maxretry = 5
bantime = 3600

Redémarrez Fail2Ban pour appliquer les modifications :

sudo systemctl restart fail2ban

Pour les entreprises et les administrateurs de serveurs recherchant une infrastructure robuste et sécurisée pour héberger leurs serveurs de messagerie web, Shape.host propose des services Cloud VPS. Les VPS Cloud de Shape.host offrent des performances exceptionnelles et une sécurité renforcée, parfaites pour gérer le trafic email tout en se protégeant contre les attaques DDoS. Avec Shape.host, vous bénéficiez d’une plateforme fiable et évolutive, soutenue par un support technique expert, pour garantir la continuité de vos services de messagerie.