Postfix: disabilita l'autenticazione tramite la porta 25


12

Quando si utilizza Postfixe IMAPsu un server di posta, di solito vengono aperte almeno 3 porte

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

Vorrei configurare Postfix, in modo che gli utenti autorizzati possano inviare e-mail solo tramite 465. Per impostazione predefinita, non è così. Gli utenti possono anche utilizzare STARTTLS sulla porta 25. Vorrei disabilitarlo.

Il mio piano è utilizzare la porta 25 per il pubblico che mi invia e-mail

utilizzare la porta 465 per i miei utenti (posso utilizzare il firewall per consentire intervalli IP specifici o utilizzare la porta personalizzata)

Ciò impedirebbe che la porta 25 sia sfruttabile da attacchi di forza bruta, in cui gli hacker cercano di indovinare utente / password. La porta 25 semplicemente non accetterebbe l'utente / password, anche se fosse valida. E poiché la porta 465 è limitata dal firewall, neanche gli hacker possono sfruttare 465.

Questo è possibile in Postfix?

Sto usando Postfix 2.9.6-2 su Debian Wheezy


1
So che questo è vecchio, ma dovresti sempre consentire la porta 587 (invio) in quanto questa è la porta corretta.
lbutlr,

Risposte:


14

ATTENZIONE:
la richiesta non segue le migliori pratiche di sicurezza perché disabiliti TLS (crittografia) sulla porta di inoltro della posta principale, esponendo i dati inviati attraverso quella porta a listener di terze parti e / o modifiche in volo. La risposta di seguito soddisfa la richiesta, ma le migliori pratiche richiedono STARTTLS anche per la connessione alla porta 25.

Il master.cffile (di solito /etc/postfix/master.cf) controlla l'avvio e la configurazione di servizi Postfix specifici. Una configurazione come questa in quel file, secondo la documentazione, farà quello che vuoi:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Questa configurazione disattiva l'autenticazione e l'opzione STARTTLS sulla porta 25. Attiva l'opzione STARTTLS sulla porta 465, richiede l'utilizzo di STARTTLS, abilita l'autenticazione e consente ai client di connettersi solo se autenticati.

È inoltre possibile esaminare l' smtpd_tls_wrappermodeopzione per forzare connessioni TLS effettive (e non connessioni STARTTLS).

Si noti che questo tipo di configurazione può rendere la configurazione di Postfix piuttosto difficile da seguire (le opzioni possono essere impostate main.cfe quindi sostituite master.cf). L'altra opzione è eseguire più istanze di Postfix, ognuna con i propri main.cffile di configurazione che specificano queste opzioni.


1
se fossero state impostate opzioni in conflitto main.cf, quali preferirebbero? Da quello che dici, sembra che master.cfprevalga main.cf. È corretto?
Martin Vegter,

1
Le -oopzioni sovrascrivono quelle nei file di configurazione. Il master.cffile coordina l'avvio dei processi e, se avessi avviato manualmente i processi con le -oopzioni, avrebbero la precedenza su qualsiasi file di configurazione specificato.
caccia il

Non -o smtpd_tls_security_level=noneuccidere TLS / rendere tutto il testo semplice nel caso in cui un server stia tentando di inoltrare la posta elettronica o un'altra connessione SMTP da server a porta 25?
TCB13,

Il -o smtpd_tls_security_level=nonesarà infatti evitare che STARTTLS di lavorare sulla porta 25 e quindi rendere tutte le comunicazioni in testo semplice. Questo è ciò che la domanda ha richiesto.
caccia il

Sto ancora effettuando il downgrade di questo per il motivo sopra. Rispondere alla richiesta di OP va bene, ma è necessario aggiungere un avvertimento in maiuscolo che è una pessima idea. (Per favore, lascia che ti voti invece aggiungendolo. ;-))
ntninja
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.