Trong postfix, cách thực thi tls + auth trên 587 trong khi để lại tls tùy chọn cho 25

9

Tôi muốn lưu trữ dịch vụ thư cho một số tên miền. Tôi có postfix thiết lập thành công để tham khảo sql cho các tên miền ảo. Những gì tôi muốn làm là:

  • Đối với các kết nối trên 25:

    1. Từ chối chuyển tiếp (chỉ phân phối cho người nhận tên miền ảo của tôi)
    2. Để lại tls tùy chọn, nhưng chỉ cung cấp auth nếu khách hàng thực hiện tls
    3. Chỉ chấp nhận các máy khách không nằm trong danh sách đen (ví dụ: hạn chế XBL + SBL + PBL khỏi spamhaus) hoặc các máy khách thực hiện tls và auth ("máy chủ thư bạn bè" được thiết lập để xác thực với tôi bằng auth và tls)

  • Đối với các kết nối trên 587:

    1. Thực thi tls và auth
    2. Cho phép chuyển tiếp.
    3. Chỉ chấp nhận các khách hàng không nằm trong danh sách đen (danh sách đen như trên nhưng không kiểm tra PBL)

Những câu hỏi của tôi:

  • A. Tôi biết các tùy chọn postfix cho phần trên, nhưng tôi không thể tìm thấy cách phân biệt chúng dựa trên cổng nghe.

  • B. Tôi có gặp phải các vấn đề được biết đến rộng rãi với các khách hàng được cho là hợp pháp với chính sách trên không?

Tôi chưa quen với thiết lập máy chủ thư, xin lỗi vì bất kỳ câu hỏi / giả định vô nghĩa nào (xin vui lòng chỉ ra nó). Cảm ơn.

postfix  smtp  tls 
Paralife
nguồn

Câu trả lời:

15

Thật dễ dàng

  1. Trong /etc/postfix/main.cfbạn sẽ thêm / thay đổi

    smtpd_tls_security_level=may

    do đó theo mặc định TLS có sẵn (nhưng tùy chọn).

  2. Sau đó, /etc/postfix/master.cfbạn sẽ ghi đè lên cổng 587 ( submissioncổng) bằng cách ghi đè tham số:

    submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt

    Điều này yêu cầu TLS cho tất cả các kết nối đệ trình (cổng 587).

Đối với việc từ chối chuyển tiếp, đây là mặc định; chuyển tiếp chỉ được phép cho người dùng được xác thực và địa chỉ IP bạn chỉ định mynetworks.

Cuối cùng, bạn có thể thêm danh sách đen main.cfbằng cách thêm vào smtpd_recipient_restrictions:

    reject_rbl_client zen.spamhaus.org,

hoặc bất cứ danh sách đen nào bạn muốn. Chúng sẽ xuất hiện ở gần cuối danh sách, ngay trước trận chung kết permit.

Một điều cuối cùng. Để biết thêm ý tưởng về cách ngăn chặn thư rác, hãy xem Chống thư rác - Tôi có thể làm gì với tư cách: Quản trị viên email, Chủ sở hữu tên miền hoặc Người dùng?

Michael Hampton
nguồn
Cảm ơn, chỉ có một điểm mờ: Trên cổng 25 tôi muốn từ chối chuyển tiếp vô điều kiện, bất kể khách hàng có xác thực hay không.
Paralife
Xác thực trên cổng 25 bị tắt theo mặc định. Nhưng để kiểm tra chắc chắn, hãy chắc chắn rằng smtpd_sasl_auth_enablenó KHÔNG có trong bạn main.cfvà cũng không có trong smtpphần của bạn master.cf(nhưng nó NÊN được đặt thành yestrong submissionphần). Các master.cfnên trông giống như này .
Michael Hampton
Đúng nhưng tôi muốn bật auth + tls tùy chọn vào 25. Tôi chỉ không muốn chuyển tiếp vào 25. Về cơ bản tôi muốn tự do về cách ai đó kết nối nhưng rất nghiêm ngặt trong việc chuyển tiếp (từ chối tất cả chuyển tiếp). Không được phép chuyển tiếp trừ khi nó xuất hiện trên 587 và máy khách được xác thực qua tls. Bất kỳ sự kết hợp nào khác nên từ chối chuyển tiếp. Tôi có lẽ chỉ cần xóa allow_sasl_authenticated khỏi smtpd_relay_restrictions và chỉ đặt nó trong phần ghi đè cho 587 trong master.cf. Cảm ơn.
Paralife
Mọi người thậm chí không cố gắng xác thực vào ngày 25. Bạn có thể kích hoạt nó nếu bạn muốn, nhưng bạn thực sự không nên.
Michael Hampton
3

Tôi không biết câu trả lời cho câu hỏi B, nhưng với A:

trong postfix bạn thường có một master.cfnơi bạn xác định mọi quy trình đang chạy, thường là trong /etc/postfix. Trong tệp đó, bạn có một mục nhập cho mỗi dịch vụ postfix đang chạy, do đó, có hai mục khác nhau cho cổng 25và cổng 587. Đối với mỗi người trong số họ, bạn cũng có thể truyền tham số cho smtpdđể họ có các cài đặt khác nhau.

Đó là một ví dụ từ máy chủ của tôi:

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject
phát lại
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.