Postfix'te, tls 25 için isteğe bağlı bırakılırken 587'nin üzerinde tls + auth nasıl uygulanır

9

Bazı alan adları için posta hizmetleri barındırmak istiyorum. Bu sanal etki alanları için sql danışmak için başarıyla postfix kurulum var. Ne yapmak istiyorum:

  • 25 numaralı bağlantılar için:

    1. Geçişi reddet (yalnızca sanal alan adlarımın alıcılarına teslim et)
    2. Tls'yi isteğe bağlı bırakın, ancak yalnızca istemci tls yaparsa kimlik doğrulaması yapın
    3. Yalnızca kara listeye alınmamış istemcileri (örn. XBL + SBL + PBL'yi spamhaus'tan kısıtlayın) veya tls ve auth yapan ("auth and tls" ile kimlik doğrulaması yapacak şekilde ayarlanmış "arkadaş posta sunucuları")

  • 587'deki bağlantılar için:

    1. Tls ve yetkilendirmeyi zorunlu kılma
    2. Geçişe izin ver.
    3. Yalnızca kara listeye alınmamış istemcileri kabul edin (yukarıdaki gibi kara listeler ancak PBL kontrolünü hariç tutun)

Sorularım:

  • A. Yukarıdakiler için postfix seçeneklerini biliyorum, ancak onları dinleme portuna göre nasıl ayırt edebileceğimi bulamıyorum.

  • B. Yukarıdaki politikaya sahip olduğu iddia edilen yasal müşterilerle yaygın olarak bilinen sorunlara girecek miyim?

Posta sunucusu kurulumunda yeniyim, anlamsız bir soru / varsayım için üzgünüm (lütfen işaretleyin). Teşekkürler.

postfix  smtp  tls 
Paralife
kaynak

Yanıtlar:

15

Bu kolay,

  1. İçinde /etc/postfix/main.cfekleyecek / değiştireceksiniz

    smtpd_tls_security_level=may

    böylece TLS varsayılan olarak kullanılabilir (ancak isteğe bağlı).

  2. Ardından, parametrenizi geçersiz kılarak bağlantı /etc/postfix/master.cfnoktası 587 ( submissionbağlantı noktası) için geçersiz kılacaksınız:

    submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt

    Bu, tüm gönderim (bağlantı noktası 587) bağlantıları için TLS gerektirir.

Geçişi reddetmek için bu varsayılan değerdir; geçişe yalnızca kimliği doğrulanmış kullanıcılar ve belirttiğiniz IP adresleri için izin verilir mynetworks.

Sonunda içinde kara ekleyebilir main.cfiçin ekleyerek smtpd_recipient_restrictions:

    reject_rbl_client zen.spamhaus.org,

veya kara listelerinizi dilediğinizde. Bunlar listenin sonuna doğru, finalden hemen önce görünmelidir permit.

Son bir şey. Spam'i önleme hakkında daha fazla fikir için, bkz. Spam ile Mücadele - Ne yapabilirim: E-posta Yöneticisi, Etki Alanı Sahibi veya Kullanıcı?

Michael Hampton
kaynak
Teşekkürler, sadece bir bulanık nokta: 25 numaralı bağlantı noktasında İstemci kimlik doğrulaması yapılmış olsun veya olmasın, koşulsuz geçişi reddetmek istiyorum.
Paralife
Bağlantı noktası 25'teki kimlik doğrulama varsayılan olarak devre dışıdır. Ama kesin kontrol etmek, emin olun smtpd_sasl_auth_enableGözlerinde farklı değil main.cfve mevcut DEĞİLDİR Ayrıca smtpsenin bölümünde master.cf(ama o ayarlanmalıdır GEREKEN yesiçinde submissionbölüm). master.cfGibi çok görünmelidir bu .
Michael Hampton
Doğru ama isteğe bağlı auth + tls 25 üzerinde etkinleştirmek istiyorum. Ben sadece 25 üzerinde geçiş yapmak istemiyorum. Aslında birisinin nasıl bağlandığı hakkında liberal olmak istiyorum ama geçiş konusunda çok sıkı (tüm geçişi reddet). 587 gelmediği ve istemcinin tls aracılığıyla yetkilendirilmediği sürece hiçbir Geçişe izin verilmemelidir. Başka herhangi bir kombinasyon geçişi reddetmelidir. Ben muhtemelen sadece smtpd_relay_restrictions permit_sasl_authenticated kaldırmak ve sadece master.cf 587 için geçersiz kılmalar koymak. Teşekkürler.
Paralife
İnsanların 25 yaşında bile kimlik doğrulama girişiminde bulunmamaları gerekiyor. İsterseniz bunu etkinleştirebilirsiniz, ancak gerçekten yapmamalısınız.
Michael Hampton
3

B sorununun cevabını bilmiyorum, ama A:

postfix'te genellikle, master.cfçalışan her bir işlemi tanımladığınız bir yere sahip olursunuz /etc/postfix. Bu dosyada her postfix servisi için bir girişiniz vardır, bu nedenle port 25ve port için iki farklı giriş vardır 587. Her biri smtpdiçin farklı ayarlara sahip olmak için parametrelerini de iletebilirsiniz .

Bu benim posta sunucumdan bir örnek:

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject
yeniden oynatma
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.