У postfix, як застосувати tls + auth над 587, залишаючи tls необов’язковим для 25

9

Я хотів би розмістити поштові послуги для деяких доменів. Я успішно встановив постфікс, щоб проконсультувати sql для цих віртуальних доменів. Що я хотів би зробити:

  • Для з'єднань на 25:

    1. Заборонити ретрансляцію (доставити лише одержувачам моїх віртуальних доменів)
    2. Залиште tls необов’язковим, але пропонуйте auth лише у тому випадку, якщо клієнт робить tls
    3. Приймайте лише клієнтів, які не перебувають у чорному списку (наприклад, обмежте XBL + SBL + PBL від spamhaus) або клієнтів, які роблять tls та auth ("сервери електронної пошти друзів", налаштовані на автентифікацію зі мною з автентифікацією та tls)

  • Для підключень на номер 587:

    1. Закріпити tls та auth
    2. Дозволити ретрансляцію.
    3. Приймайте лише клієнтів, які не перебувають у чорному списку (чорні списки, як вище, але не знімайте перевірку PBL)

Мої запитання:

  • А. Я знаю варіанти постфіксу для вищезазначених, але я не можу знайти, як їх диференціювати на основі порту прослуховування.

  • B. Чи зіткнуться я з широко відомими проблемами з нібито законними клієнтами з вищезазначеною політикою?

Я новачок у налаштуванні поштового сервера, вибачте за будь-яке безглузде запитання / припущення (будь ласка, вкажіть це). Дякую.

postfix  smtp  tls 
Параліфе
джерело

Відповіді:

15

Це легко,

  1. У /etc/postfix/main.cfвас додасть / змінить

    smtpd_tls_security_level=may

    щоб TLS за замовчуванням був доступний (але необов’язково).

  2. Тоді, у своєму, /etc/postfix/master.cfви замініть його на порт 587 ( submissionпорт), замінивши параметр:

    submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt

    Для цього потрібна TLS для всіх підключень (порт 587).

Що стосується заборони ретрансляції, то це за замовчуванням; ретрансляція дозволена лише для автентифікованих користувачів та IP-адреси, вказані в mynetworks.

Нарешті ви можете додати чорні списки main.cf, додавши до smtpd_recipient_restrictions:

    reject_rbl_client zen.spamhaus.org,

або що б ви не хотіли. Вони повинні з’явитися наприкінці списку, безпосередньо перед фіналом permit.

Одне останнє. Щоб отримати додаткові ідеї щодо запобігання спаму, див. « Боротьба зі спамом» - Що я можу зробити: адміністратор електронної пошти, власник домену чи користувач?

Майкл Хемптон
джерело
Дякую, лише одна розмита точка: На порту 25 я хочу беззастережно відмовити в ретрансляції, незалежно від того, клієнт має автентифікацію чи ні.
Параліфе
Аутентифікація на порт 25 відключена за замовчуванням. Але для впевненості переконайтеся, що smtpd_sasl_auth_enableНЕ є у вашому, main.cfа також, що воно НЕ присутнє у smtpрозділі вашого master.cf(але ПОТРІБНО встановити yesв цьому submissionрозділі). master.cfПовинен виглядати так само, як це .
Майкл Хемптон
Правильно, але я хочу включити необов'язкові auth + tls на 25. Я просто не хочу ретранслювати на 25. По суті, я хочу бути ліберальним щодо того, як хтось підключається, але дуже суворий щодо ретрансляції (заперечувати всі ретрансляції). Забороняється відмовлятись, якщо вона не відбудеться 587 і клієнт не зареєстрований через tls. Будь-яка інша комбінація повинна відмовлятися від ретрансляції. Я, мабуть, просто видаляю дозвіл_sasl_authentication з smtpd_relay_restrictions і ставлю його лише в заміні на 587 в master.cf. Дякую.
Параліфе
Люди не повинні навіть намагатися зробити авторизацію на 25. Ви можете ввімкнути це, якщо хочете, але ви цього не повинні.
Майкл Хемптон
3

Я не знаю відповіді на питання B, але на A:

у Postfix у вас зазвичай є master.cfде ви визначаєте кожен запущений процес, часто в /etc/postfix. У цьому файлі у вас є один запис на працюючу послугу Postfix, тому для порту 25і порту є два різні 587. Для кожного з них ви також можете передати параметри тим, smtpdщоб вони мали різні налаштування.

Ось приклад мого поштового сервера:

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject
відтворення
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.