Postfix: vô hiệu hóa xác thực thông qua cổng 25

12

Khi sử dụng PostfixIMAPtrên máy chủ thư, ít nhất 3 cổng thường được mở

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

Tôi muốn định cấu hình postfix, để người dùng được ủy quyền chỉ có thể gửi email qua 465. Theo mặc định, điều này không phải như vậy. Người dùng cũng có thể sử dụng STARTTLS qua cổng 25. Tôi muốn tắt nó.

Kế hoạch của tôi là sử dụng cổng 25 cho công chúng gửi email cho tôi

sử dụng cổng 465 cho người dùng của tôi (Tôi có thể sử dụng tường lửa để cho phép các dải IP cụ thể hoặc sử dụng cổng tùy chỉnh)

Điều này sẽ ngăn chặn cổng 25 có thể bị khai thác từ các cuộc tấn công vũ phu, nơi tin tặc cố gắng đoán người dùng / mật khẩu. Cổng 25 đơn giản là không chấp nhận người dùng / mật khẩu, ngay cả khi nó hợp lệ. Và vì cổng 465 bị hạn chế bởi tường lửa, tin tặc cũng không thể khai thác 465.

Điều này có thể trong Postfix?

Tôi đang sử dụng Postfix 2.9.6-2 trên Debian Wheezy

postfix  smtp  imap  sasl 
Martin Vegter
nguồn
1
Tôi biết điều này đã cũ, nhưng bạn phải luôn cho phép cổng 587 (trình) vì đây là cổng thích hợp.
lbutlr

Câu trả lời:

14

CẢNH BÁO:
Yêu cầu không tuân theo thực tiễn bảo mật tốt nhất vì bạn tắt TLS (mã hóa) trên cổng chuyển tiếp thư chính của mình, để lộ dữ liệu được gửi qua cổng đó cho người nghe bên thứ ba và / hoặc sửa đổi trong chuyến bay. Câu trả lời dưới đây đáp ứng yêu cầu, nhưng thực tế tốt nhất cũng yêu cầu STARTTLS cho kết nối cổng 25.

Các master.cftập tin (thường /etc/postfix/master.cf) điều khiển khởi động và cấu hình các dịch vụ Postfix cụ thể. Một cấu hình như thế này trong tệp đó, theo tài liệu, sẽ làm những gì bạn muốn:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Cấu hình này tắt xác thực và tùy chọn STARTTLS trên cổng 25. Nó bật tùy chọn STARTTLS trên cổng 465, yêu cầu sử dụng STARTTLS, cho phép xác thực và chỉ cho phép khách hàng kết nối nếu được xác thực.

Bạn cũng có thể xem xét smtpd_tls_wrappermodetùy chọn để buộc các kết nối TLS thực sự (chứ không phải các kết nối STARTTLS).

Lưu ý rằng loại cấu hình này có thể làm cho cấu hình Postfix hơi khó theo dõi (các tùy chọn có thể được đặt trong main.cfvà sau đó được ghi đè master.cf). Tùy chọn khác là chạy nhiều phiên bản của Postfix, mỗi phiên bản có main.cftệp cấu hình riêng xác định các tùy chọn này.

hờ hững
nguồn
1
nếu các tùy chọn xung đột được đặt main.cf, cái nào sẽ được ưu tiên? Từ những gì bạn nói, có vẻ như master.cfghi đè main.cf. Điều này có đúng không?
Martin Vegter
1
Các -otùy chọn ghi đè lên những người trong các tập tin cấu hình. Các master.cftập tin tọa độ khởi động của các quá trình, và nếu bạn đã khởi động quá trình bằng tay với các -otùy chọn, họ sẽ ghi đè lên bất cứ tập tin cấu hình cụ thể.
giờ
Sẽ không -o smtpd_tls_security_level=nonegiết TLS / biến mọi thứ thành văn bản đơn giản trong trường hợp một số máy chủ đang cố chuyển tiếp email hoặc một số kết nối SMTP từ máy chủ đến máy chủ khác đến cổng 25?
TCB13
Điều -o smtpd_tls_security_level=nonenày thực sự sẽ ngăn STARTTLS hoạt động trên cổng 25 và do đó làm cho tất cả các giao tiếp ở dạng văn bản thuần túy. Đó là những gì câu hỏi yêu cầu.
vào
Tôi vẫn hạ thấp điều này vì lý do trên. Tuân thủ yêu cầu của OP là tốt, nhưng bạn nên thêm một cảnh báo bằng chữ in hoa là một ý tưởng rất tồi. (Vui lòng để tôi nâng cấp bạn thay vào đó, bằng cách thêm vào đó. ;-))
ntninja
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.