配置 Postfix 和 Dovecot 仅监听本地主机上未加密的端口

tag-icon tag-icon postfix dovecot
配置 Postfix 和 Dovecot 仅监听本地主机上未加密的端口

如何配置 Postfix 和 Dovecot 仅绑定到端口 587 和 143 以进行本地主机上的未加密提交和 imap,但绑定到端口 465 和 993 以进行所有接口上的加密连接?我需要这样做,因为 Thunderbird 在看到未加密端口打开时默认使用未加密端口。

目前,它看起来像这样:

localhost
- 25 (smtp)
- 143 (imap)
- 465 (smtps)
- 587 (unencrypted smtp/submission)
- 993 (imaps)

eth0
- 25 (smtp)
- 143 (imap)
- 465 (smtps)
- 587 (unencrypted smtp/submission)
- 993 (imaps)

我需要它看起来像这样:

localhost
- 25 (smtp)
- 143 (imap)
- 465 (smtps)
- 587 (unencrypted smtp/submission)
- 993 (imaps)

eth0
- 25 (smtp)
- 465 (smtps)
- 993 (imaps)

答案1

监听端口143并不587一定意味着连接未加密。通常使用机会性 TLS,即STARTTLS这些端口:连接开始时未加密,但很快就会升级为加密。避免这样做的唯一原因STARTTLS是减轻中间人攻击(RFC 3207STARTTLS 安全性低于 TLS)。

在这种情况下,目标是使其成为STARTTLS强制性的,但禁用也是可能的。

后缀提交 587

postfix/master.cf

  • 提交服务必须具有(以及其他设置):

     submission inet n - - - - smtpd
   -o smtpd_tls_security_level=encrypt

  • 要完全禁用端口587(回答您的问题),请注释掉 submission部分。

  • 制作提交仅适用于localhost(文字答案):

     127.0.0.1:587 inet n - - - - smtpd

Dovecot IMAP143

  • 您有dovecot/conf.d/10-auth.conf此设置以及注释中的文档:

     # Disable LOGIN command and all other plaintext authentications unless
 # SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP
 # matches the local IP (ie. you're connecting from the same computer), the
 # connection is considered secure and plaintext authentication is allowed.
 # See also ssl=required setting.
 disable_plaintext_auth = yes

  • 要禁用 IMAP 侦听器,请将其端口更改0dovecot/conf.d/10-master.conf:

     service imap-login {
   inet_listener imap {
     port = 0
   }
   ...
 }

  • 143要配置 Dovecot仅监听 IMAP localhost(文字答案):

     service imap-login {
   inet_listener imap {
     address = 127.0.0.1
   }
 }

相关内容