Назад | Перейти на главную страницу

В postfix, как принудительно использовать tls + auth для 587, оставляя tls необязательным для 25

Я хотел бы разместить почтовые службы для некоторых доменов. Я успешно настроил postfix для консультации с sql для этих виртуальных доменов. Что бы я хотел сделать:

Для подключений по 25:
1. Запретить ретрансляцию (доставлять только получателям моих виртуальных доменов)
2. Оставьте tls необязательным, но предлагайте аутентификацию, только если клиент делает tls
3. Принимать только клиентов, не занесенных в черный список (например, ограничить XBL + SBL + PBL от spamhaus) или клиентов, которые выполняют tls и auth («почтовые серверы друзей», которые настроены для аутентификации со мной с помощью auth и tls)
Для соединений по 587:
1. Принудительно применять tls и auth
2. Ретрансляция разрешений.
3. Принимать только клиентов, не внесенных в черный список (черные списки, как указано выше, но не проверять PBL)

Мои вопросы:

А. Я знаю варианты постфикса для вышеупомянутого, но я не могу найти, как их различать на основе порта прослушивания.
B. Могу ли я столкнуться с широко известными проблемами с предположительно законными клиентами с вышеуказанной политикой?

Я новичок в настройке почтового сервера, извините за бессмысленный вопрос / предположение (укажите на это). Спасибо.

Это легко,

В /etc/postfix/main.cf вы добавите / измените
```
smtpd_tls_security_level=may
```
так что по умолчанию TLS доступен (но необязательно).
Затем в вашем /etc/postfix/master.cf вы переопределите его для порта 587 ( submission порт), переопределив параметр:
```
submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
```
Это требует TLS для всех подключений отправки (порт 587).

Что касается запрета ретрансляции, это значение по умолчанию; ретрансляция разрешена только для аутентифицированных пользователей, а IP-адреса, указанные в mynetworks.

Наконец, вы можете добавить черные списки в main.cf добавив к smtpd_recipient_restrictions:

    reject_rbl_client zen.spamhaus.org,

или любые другие черные списки по вашему желанию. Они должны появиться в конце списка, непосредственно перед последним permit.

Одна последняя вещь. Дополнительные сведения о том, как предотвратить спам, см. Борьба со спамом - что я могу делать как: администратор электронной почты, владелец домена или пользователь?

Я не знаю ответа на вопрос B, но на A:

в постфиксе у вас обычно есть master.cf где вы определяете каждый запущенный процесс, часто в /etc/postfix. В этом файле у вас есть одна запись для каждой запущенной службы postfix, поэтому есть две разные записи для порта 25 и порт 587. Для каждого из них вы также можете передать параметры в smtpd чтобы у них были разные настройки.

Это пример с моего почтового сервера:

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject