In postfix, come applicare tls + auth oltre 587 lasciando tls opzionale per 25

9

Vorrei ospitare servizi di posta per alcuni domini. Ho installato con successo postfix per consultare sql per quei domini virtuali. Quello che vorrei fare è:

  • Per connessioni su 25:

    1. Nega inoltro (consegna solo ai destinatari dei miei domini virtuali)
    2. Lascia tls facoltativo, ma offri auth solo se il client lo fa tls
    3. Accetta solo i client non inclusi nella lista nera (ad es. Limitare XBL + SBL + PBL da spamhaus) o client che eseguono tls e auth ("server di posta amici" che sono configurati per autenticarsi con me con auth e tls)

  • Per connessioni su 587:

    1. Applicare tls e auth
    2. Autorizza l'inoltro.
    3. Accetta solo i client non nella lista nera (liste nere come sopra ma tralascia il controllo PBL)

Le mie domande:

  • R. Conosco le opzioni postfix per quanto sopra, ma non riesco a trovare come differenziarle in base alla porta di ascolto.

  • B. Incontrerò problemi ampiamente noti con clienti apparentemente legittimi con la politica di cui sopra?

Sono nuovo alla configurazione del server di posta, mi dispiace per qualsiasi domanda / assunzione insignificante (per favore, indicatelo). Grazie.

postfix  smtp  tls 
Paralife
fonte

Risposte:

15

Questo è facile,

  1. In /etc/postfix/main.cfaggiungerai / cambierai

    smtpd_tls_security_level=may

    in modo che per impostazione predefinita TLS sia disponibile (ma facoltativo).

  2. Quindi, nel tuo /etc/postfix/master.cflo sovrascriverai per la porta 587 (la submissionporta) sovrascrivendo il parametro:

    submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt

    Ciò richiede TLS per tutte le connessioni di invio (porta 587).

Per quanto riguarda la negazione dell'inoltro, questo è il valore predefinito; l'inoltro è consentito solo agli utenti autenticati e agli indirizzi IP specificati mynetworks.

Infine puoi aggiungere liste nere main.cfaggiungendo a smtpd_recipient_restrictions:

    reject_rbl_client zen.spamhaus.org,

o qualunque lista nera desideri. Questi dovrebbero apparire vicino alla fine della lista, appena prima della finale permit.

Un'ultima cosa. Per ulteriori idee su come prevenire lo spam, vedi Combattere lo spamming: cosa posso fare come amministratore della posta elettronica, proprietario del dominio o utente?

Michael Hampton
fonte
Grazie, solo un punto sfocato: sulla porta 25 voglio negare incondizionatamente l'inoltro, indipendentemente dal fatto che il client sia autenticato o meno.
Paralife,
L'autenticazione sulla porta 25 è disabilitata per impostazione predefinita. Ma per verificare con certezza, assicurati che smtpd_sasl_auth_enableNON sia nel tuo main.cfe anche che NON sia presente nella smtpsezione del tuo master.cf(ma DOVREBBE essere impostato su yesnella submissionsezione). L' master.cfdovrebbe apparire molto simile a questo .
Michael Hampton,
Corretto ma voglio abilitare l'autent + tls opzionale su 25. Non voglio solo inoltrare su 25. In sostanza voglio essere liberale su come qualcuno si connette ma molto severo su inoltro (negare tutto l'inoltro). Nessun inoltro dovrebbe essere consentito a meno che non arrivi al 587 e il client sia stato autorizzato tramite tls. Qualsiasi altra combinazione dovrebbe rifiutare l'inoltro. Probabilmente rimuoverò permesso_sasl_authenticated da smtpd_relay_rest restrizioni e lo inserirò solo nelle sostituzioni per 587 in master.cf. Grazie.
Paralife,
Le persone non dovrebbero nemmeno tentare di autorizzare il 25. Puoi abilitarlo se vuoi, ma davvero non dovresti.
Michael Hampton,
3

Non conosco la risposta alla domanda B, ma A:

in postfix di solito hai un punto in master.cfcui definisci ogni singolo processo in esecuzione, spesso in /etc/postfix. In quel file hai una voce per servizio postfix in esecuzione, quindi ce ne sono due differenti per porta 25e porta 587. Per ognuno di essi puoi anche passare parametri al smtpdper farli avere impostazioni diverse.

Ecco un esempio dal mio mailserver:

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject
replay
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.