Estou procurando uma opção de configuração do Postfix como smtpd_enforce_tls , mas uma que permita impor o TLS seletivamente, dependendo do domínio do qual o e-mail está vindo. Preciso permitir o recebimento de emails não TLS de todos os domínios, exceto determinados, que originam.
Isso é possível? Eu sei que é simples reforçar seletivamente o TLS no e-mail indo para fora do Postfix, mas estou falando sobre o e-mail chegando.
Sim, você pode - com um pouco de engenharia:)
Como você diz que deseja impor o TLS com base no domínio do remetente, adicione uma restrição check_sender_access aos seus smtpd_sender_restrictions, assim:
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enforced_tls
e em /etc/postfix/enforced_tls :
@example.org reject_plaintext_session
@example.net reject_plaintext_session
Não se esqueça de postar o arquivo e recarregar o postfix quando terminar.
/etc/postfix/enforced_tls deve estar neste formato:
example.org reject_plaintext_session
example.net reject_plaintext_session
consulte o link
Eu até sugeriria uma versão mais restritiva, exigindo também um certificado válido do servidor de envio como este:
/etc/postfix/main.cf :
... smtpd_tls_ask_ccert = yes smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enfoced_tls ...
/etc/postfix/enforced_tls :
example.org reject_plaintext_session, permit_tls_all_clientcerts, reject example.net reject_plaintext_session, permit_tls_all_clientcerts, reject
Isso também deve rejeitar a sessão quando o certificado do servidor de conexão não puder ser validado por meio das CAs em smtpd_tls_CAfile , que, nesse caso, pode conter com segurança as CAs padrão do sistema. Por favor corrija-me se estou enganado aqui.
Tags postfix