У меня есть сервер с postfix и аутентификация с помощью обычного текста.
Он принимает как TLS-аутентификацию, так и аутентификацию без TLS.
Как я могу заставить сервер отклонять все запросы, отличные от TLS, чтобы пользователи почты никогда не отправляли свое имя пользователя и пароли в виде открытого текста при входе в систему?
Чтобы сделать мысли ясными, если user2@mymailserver2.com является получателем и user@mymailserver.com местный отправитель:
Я хочу, чтобы эта команда работала (так как есть --tls вариант):
swaks --tls --to user2@mymailserver2.com --from -a user1@mymailserver1.com -auth CRAM-MD5 --auth-user user1@mymailserver1.com
и эта команда не сработает (поскольку --tls пропал, отсутствует):
swaks --to user2@mymailserver2.com --from -a user1@mymailserver1.com -auth CRAM-MD5 --auth-user user1@mymailserver1.com
Потому что снова Новый год. Пособия как услуга.
Из руководство
Поддержка только AUTH через TLS
Отправка данных AUTH по незашифрованному каналу создает угрозу безопасности. Когда требуется шифрование уровня TLS (
smtpd_tls_security_level = encrypt), сервер SMTP Postfix объявит и примет AUTH только после того, как уровень TLS будет активирован с помощью STARTTLS. Если шифрование уровня TLS необязательно (smtpd_tls_security_level = may), однако может оказаться полезным предлагать AUTH только при активном TLS. Для обеспечения совместимости с клиентами, не использующими TLS, по умолчанию используется AUTH без шифрования. Чтобы изменить это поведение, установите
smtpd_tls_auth_only = yes