Uma conexão STARTTLS precisa ser iniciada sem segurança. A opção STARTTLS não é anunciada até depois do primeiro comando EHLO . Se você quiser impor STARTTLS , precisará adicionar ou modificar um ACL . Publiquei a Política de e-mail que eu aplico .
Se esse servidor for seu MX, você não deve impor STARTTLS em todas as conexões. Minha configuração requer STARTTLS para conexões que exigem AUTH . Isso não inclui conexões da minha LAN, mas se aplica a usuários que enviam e-mails do meu servidor enquanto estão em roaming. Eu também requer autenticação ocorre na porta de envio. Este é o básico do ACL que eu uso.
# This access control list is used after an auth command.
acl_local_auth:
# Deny authentication on unencrypted links
deny
!encrypted = *
message = AUTH encryption is required
# Deny if AUTH isn't on submission port (autolist enabled)
deny
!condition = ${if eq {$interface_port}{587}}
message = AUTH requires submission port
# Accept if encrypted (should not get here if unencrypted)
accept
encrypted = *
# Padrão negar negar mensagem = AUTH não aceita
Você também pode impor TLS em um e-mail ACL . Esta ACL permite que remetentes externos enviem e-mails.
# This access control list is used for every MAIL FROM command in an
# incoming SMTP message.
acl_local_mail_from:
# Accept if locally trusted hosts
accept
hosts = : +relay_from_hosts
# Accept if authenticated
## May want to check domain is local
accept
authenticated = *
# Accept the null sender - bounce messages and receipts
accept
senders = :
# Accept if not local domain - recipient ACL will handle relaying
# More checks on sender in recipient ACL.
accept
!hosts = : +relay_from_hosts
!sender_domains = +local_domains
# Default deny
deny
message = $sender_address is not authorized to send email on this connection.
Você deve considerar o uso de defer em vez de deny durante o teste das ACLs. As ACLs são ativadas adicionando as instruções acl à seção principal da configuração e as ACLs acima à seção ACL.
acl_smtp_auth = acl_local_auth acl_smtp_mail = acl_local_mail_from