Desativar SMTP AUTH na porta 25

Navegue suas respostas
7

Devido ao PCI-DSS, precisamos desativar a autenticação em texto simples. Conseguimos isso encapsulando as comunicações entre o nosso servidor de e-mail e os clientes com o TLS na porta 465.

O problema está em que a porta 25 deve permanecer aberta e não criptografada para recebermos e-mails da Internet, mas não deve permitir a autenticação.

Eu tentei desativar o comando AUTH, mas isso também interrompe a autenticação na porta 465.

Existe um servidor de e-mail ou proxy que permitirá configuração separada para as portas 25 e 465, de modo que a autenticação esteja disponível apenas através de um canal seguro?

Também é digno de nota: estamos usando o MailEnable com stunnel no modo FIPS.

Atualização:

MailEnable forneceu um executável SMTP com patches que me permitiu configurar, através do registro do Windows, se a autorização é oferecida em cada porta de escuta. Isso resolveu meu problema - esperamos que eles publiquem o patch como um hotfix.

    
por callovarne 15.05.2012 / 00:06

4 respostas

7

Sim, o postfix é perfeitamente capaz disso.

Veja o HOWTO do Postfix:

link

e particularmente:

link

(essas duas páginas estão vinculadas à extensa página oficial de documentos do Postfix link )

Para meu servidor, a configuração em master.cf se parece com: 

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

E main.cf tem uma linha como: 

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Nesse caso, a autenticação é ativada apenas para as portas de envio (587) e SMTPS (465).

    
por 15.05.2012 / 04:35
2

Parece que a opção do Postfix smtpd_tls_auth_only = yes é exatamente o que você pesquisa. Ele permite usar o SMTP AUTH somente quando o TLS é ativado, o que é relevante apenas na porta 25 para sua configuração.

link
link

    
por 10.06.2012 / 18:53
1

Você também pode fazer o seguinte para apenas anunciar tls em certas portas com o exim4. 

tls_advertise_hosts = 192.168.40.5:${if eq {$interface_port}{587} {*}{}}

Portanto, apenas os clientes que se conectam do 192.168.40.5 e os clientes que se conectam através da porta 587 seriam oferecidos por tls. Contanto que sua configuração de autenticação esteja configurada para exigir tls antes de anunciar, somente os clientes que usam a porta 587 com o TLS poderão usar a autenticação.

    
por 01.08.2012 / 17:59
0

Exim permite definir: 

server_advertise_condition = ${if def:tls_cipher}

em um driver de autenticação, por isso é apenas anunciado / disponível no TLS.

O Exim é usado com muita frequência como um gateway frontend entre os servidores de e-mail MS e a Internet aberta; Integração LDAP que permite consultar o AD para verificação de endereço, autenticação, etc; integração decente em vários detectores de malware, etc.

    
por 28.05.2012 / 02:19

Tags

Do / usr / local e / usr / local / bin precisam ser graváveis em grupo? Se sim, porque? Devem 127.0.0.1 e :: 1 ser incluídos no arquivo / etc / hosts?