No postfix, como impor tls + auth acima de 587 enquanto deixa os tls opcionais para 25

9

Gostaria de hospedar serviços de email para alguns domínios. Eu configurei com êxito o postfix para consultar o sql para esses domínios virtuais. O que eu gostaria de fazer é:

  • Para conexões em 25:

    1. Negar retransmissão (somente entregar aos destinatários dos meus domínios virtuais)
    2. Deixe o tls opcional, mas ofereça somente a autenticação se o cliente fizer tls
    3. Aceite apenas clientes não incluídos na lista negra (por exemplo, restrinja XBL + SBL + PBL de spamhaus) ou clientes que fazem tls e auth ("friend mail servers" configurados para autenticar comigo com auth e tls)
  • Para conexões no 587:

    1. Aplicar tls e auth
    2. Permitir retransmissão.
    3. Aceite somente clientes não incluídos na lista negra (listas negras como acima, mas exclua a verificação de PBL)

Minhas perguntas:

  • Eu sei das opções de postfix para o acima, mas não consigo encontrar como diferenciá-los com base na porta de escuta.

  • B. Encontrarei problemas amplamente conhecidos com clientes supostamente legítimos com a política acima?

Eu sou novo na configuração do servidor de email, desculpe por qualquer pergunta / asssupmição (por favor, aponte). Obrigado.

    
por Paralife 22.02.2013 / 13:10

2 respostas

15

Isso é fácil,

  1. Em /etc/postfix/main.cf , você adicionará / alterará

    smtpd_tls_security_level=may
    

    para que, por padrão, o TLS esteja disponível (mas opcional).

  2. Em seguida, no seu /etc/postfix/master.cf , você irá substituí-lo pela porta 587 (a submission port) substituindo o parâmetro:

    submission inet n       -       n       -       -       smtpd
      -o smtpd_tls_security_level=encrypt
    

    Isso requer TLS para todas as conexões de envio (porta 587).

Quanto a negar a retransmissão, esse é o padrão; A retransmissão é permitida somente para usuários autenticados e endereços IP especificados em mynetworks .

Por fim, você pode adicionar listas negras em main.cf anexando a smtpd_recipient_restrictions :

    reject_rbl_client zen.spamhaus.org,

ou qualquer blacklist que você desejar. Estes devem aparecer perto do final da lista, pouco antes do final permit .

Uma última coisa. Para obter mais ideias sobre como evitar spam, consulte Luta contra spam - O que posso fazer como: administrador de e-mail, proprietário do domínio ou usuário?

    
por 22.02.2013 / 13:46
3

Eu não sei a resposta para a pergunta B, mas para A:

no postfix, você geralmente tem um master.cf onde define cada processo em execução, geralmente em /etc/postfix . Nesse arquivo, você tem uma entrada por serviço postfix em execução, portanto, há duas diferentes para a porta 25 e a porta 587 . Para cada um deles, você também pode passar parâmetros para o smtpd para que eles tenham configurações diferentes.

Isso é um exemplo do meu servidor de e-mail:

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject
    
por 22.02.2013 / 13:46