Postfix: desativa a autenticação pela porta 25

Question

Postfix: desativa a autenticação pela porta 25

#1 resposta do (10 votos)

10

Ao usar Postfix e IMAP em um servidor de e-mail, pelo menos 3 portas geralmente são abertas

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

Eu gostaria de configurar o postfix, para que os usuários autorizados só possam enviar e-mails por meio do 465. Por padrão, isso não acontece. Os usuários também podem usar o STARTTLS na porta 25. Eu gostaria de desativar isso.

Meu plano é usar a porta 25 para o público me enviando e-mail

use a porta 465 para meus usuários (posso usar o firewall para permitir intervalos de IP específicos ou usar uma porta personalizada)

Isso evitaria que a porta 25 fosse explorada por ataques de força bruta, em que hackers tentam adivinhar usuário / senha. A porta 25 simplesmente não aceitaria usuário / senha, mesmo que fosse válida. E como a porta 465 é restrita por firewall, os hackers também não podem explorar o 465.

Isso é possível no Postfix?

Estou usando o Postfix 2.9.6-2 no Debian Wheezy

postfix imap smtp sasl

por Martin Vegter 19.07.2014 / 21:40

1 resposta

Tags postfix imap smtp sasl

O que está causando o VirtualBox OSE a desligar minha máquina? Negar o acesso ao plugin flash para uma (determinada) webcam

score 10 · Accepted Answer

O arquivo master.cf (geralmente /etc/postfix/master.cf ) controla a inicialização e a configuração de serviços Postfix específicos. Uma configuração como essa nesse arquivo, de acordo com a documentação, fará o que você deseja:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Essa configuração desativa a autenticação e a opção STARTTLS na porta 25. Ele ativa a opção STARTTLS na porta 465, requer o uso de STARTTLS, habilita a autenticação e permite que os clientes se conectem somente se autenticados.

Você também pode procurar na opção smtpd_tls_wrappermode para forçar conexões TLS verdadeiras (e não conexões STARTTLS).

Observe que esse tipo de configuração pode tornar a configuração do Postfix um pouco difícil de seguir (as opções podem ser definidas em main.cf e, em seguida, substituídas em master.cf ). A outra opção é executar várias instâncias do Postfix, cada uma com seus próprios arquivos de configuração main.cf que especificam essas opções.