Назад | Перейти на главную страницу

Postfix: Обеспечение исходящего TLS на основе домена отправителя и получателя?

Я знаю, что применить TLS на основе домена получателя довольно просто, используя smtpd_enforce_tls. У меня есть вариант использования, когда мне нужно принудительно использовать TLS для определенных доменов получателей на основе домена отправителя. Это должно использоваться в многопользовательской среде, где одному арендатору может быть все равно, если его почта example.com отправляется через TLS, но другой требует его принудительного применения из соображений соответствия. Есть ли способ добиться этого, не создавая отдельных слушателей для каждого клиента?

postfix tls

Согласно документация это невозможно. Текущая реализация может только выбрать пункт назначения; а не на источнике.

Короткий ответ: нет, для этого потребуется предварительная маршрутизация сообщения перед сеансом TLS, что противоречит цели его использования; и нет возможности направить его внутри сеанса.

Длинный ответ: вам лучше сделать одно из следующего:

принуждение ваших клиентов на основе TLS настраивать свои MUA для использования TLS из коробки, минуя всю проблему. Это не проблема, потому что postfix с радостью будет иметь как зашифрованные, так и незашифрованные слушатели; однако очевидно, что это создает проблемы, если пользователь не заботится об этом, потому что большинство автоматически настраиваемых почтовых клиентов будут проверять порты и находить незашифрованный ... и т. д. и т. д. и т. д.
принудительное использование всех подключений на основе TLS, что в любом случае будет прозрачно для всех, поскольку вы можете запускать TLS на порту 25, но не SSL. Это был бы самый простой / самый ленивый вариант, но я не знаю вашей конфигурации или мощности сервера, и он может быть неоптимальным на сервере большого объема.