Postfix: 25 numaralı bağlantı noktasından kimlik doğrulamayı devre dışı bırak


12

Bir posta sunucusunda Postfixve IMAPposta sunucusunda kullanılırken, genellikle en az 3 bağlantı noktası açılır

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

Postfix'i yapılandırmak istiyorum, böylece yetkili kullanıcılar sadece 465 üzerinden e-posta gönderebilir. Varsayılan olarak bu böyle değildir. Kullanıcılar ayrıca 25 numaralı bağlantı noktası üzerinden STARTTLS kullanabilir. Bunu devre dışı bırakmak istiyorum.

Planım halka e-posta gönderen 25 numaralı bağlantı noktasını kullanmak

kullanıcılarım için 465 numaralı bağlantı noktasını kullan (Belirli IP aralıklarına izin vermek için güvenlik duvarını kullanabilir veya özel bağlantı noktası kullanabilirim)

Bu, bağlantı noktası 25'in bilgisayar korsanlarının kullanıcı / parolayı tahmin etmeye çalıştığı kaba kuvvet saldırılarından yararlanılmasını önleyecektir. Bağlantı noktası 25, geçerli olsa bile, kullanıcı / parolayı kabul etmez. 465 numaralı bağlantı noktası güvenlik duvarı tarafından kısıtlandığından, bilgisayar korsanları da 465'i kullanamaz.

Postfix'de bu mümkün müdür?

Debian Wheezy'de Postfix 2.9.6-2 kullanıyorum


1
Bu eski olduğunu biliyorum, ama bu uygun bağlantı noktası olduğu için her zaman bağlantı noktası 587 (gönderme) izin vermelisiniz.
lbutlr

Yanıtlar:


14

UYARI:
Ana posta geçiş bağlantı noktanızdaki TLS'yi (şifreleme) devre dışı bırakarak, bu bağlantı noktası üzerinden üçüncü taraf dinleyicilere gönderilen verileri ve / veya uçuş sırasında yapılan değişiklikleri gösterdiğiniz için istek en iyi güvenlik uygulamalarını izlemez. Aşağıdaki cevap isteği karşılamaktadır, ancak en iyi uygulama 25 numaralı bağlantı noktası için de STARTTLS gerektirir.

master.cfDosya (genellikle /etc/postfix/master.cf) belirli Postfix hizmetlerin başlangıç ve yapılandırmasını kontrol eder. Belgeye göre bu dosyada böyle bir yapılandırma istediğinizi yapar:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Bu yapılandırma, 25 numaralı bağlantı noktasındaki kimlik doğrulamasını ve STARTTLS seçeneğini kapatır. 465 numaralı bağlantı noktasındaki STARTTLS seçeneğini açar, STARTTLS kullanımını gerektirir, kimlik doğrulamasını etkinleştirir ve yalnızca istemcilerin kimliği doğrulanmışsa bağlantı kurmasına izin verir.

Ayrıca smtpd_tls_wrappermodegerçek TLS bağlantılarını zorlama seçeneğine de bakabilirsiniz (STARTTLS bağlantılarını değil).

Bu tür bir yapılandırmanın Postfix yapılandırmasını takip etmeyi biraz zorlaştırabileceğini unutmayın (seçenekler ayarlanıp main.cfgeçersiz kılınabilir master.cf). Diğer seçenek, her biri main.cfbu seçenekleri belirten kendi yapılandırma dosyalarına sahip birden fazla Postfix örneği çalıştırmaktır .


1
çelişen seçenekler belirlenmiş main.cfolsaydı hangileri tercih edilir? Söylediğin gibi, master.cfgeçersiz kılıyor gibi görünüyor main.cf. Bu doğru mu?
Martin Vegter

1
-oSeçenekler yapılandırma dosyalarında geçersiz kılar. master.cfDosya süreçlerinin başlangıç koordinatları ve elle süreçleri devreye olsaydı -oseçenekler, onlar yapılandırma dosyası belirtilen ne olursa olsun geçersiz kılar.
2014'te

Olmaz -o smtpd_tls_security_level=noneBazı sunucu e-posta veya bağlantı noktası 25 için başka sunucudan sunucuya SMTP bağlantı röle çalışıyor durumda TLS / marka her şey düz metin öldürmek?
TCB13

-o smtpd_tls_security_level=noneGerçekten 25 numaralı bağlantı noktasından çalışmasını STARTTLS önlemek ve böylece düz metin tüm iletişimi yapacaktır. Sorunun istediği buydu.
Şubat'ta

Yukarıdaki neden için hala bunu önemsemiyorum. OP'nin isteğine uymak iyidir, ancak çok kötü bir fikir olan büyük harf uyarısı eklemeniz gerekir. (Lütfen bunu ekleyerek sizi oylamama izin verin. ;-))
ntninja
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.