今天我意外地发现,不知何故我可以通过普通的旧式 smtp 端口 25 从我的 postfix 邮件服务器发送电子邮件。我很困惑这是为什么,尽管我将 postfix 配置为仅接受出站加密的 TLS 连接。我遗漏了什么?
这是我的 main.cf 的配置部分:
### Outbound SMTP connections (Postfix as sender)###
smtp_use_tls = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
smtp_tls_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_mandatory_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers = high
### Inbound SMTP connections ###
smtpd_use_tls = yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_security_options = noanonymous
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.com/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_relay_restrictions = permit_sasl_authenticated, reject_unauth_destination
smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_sasl_authenticated,permit_mynetworks
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain
###smtpd tls xtraconf
#For tls header info show
smtpd_tls_received_header = yes
# More detailed tls neg log smtpd_tls_loglevel = 2
smtpd_tls_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_mandatory_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_preempt_cipherlist = yes
smtputf8_enable = no
主控文件:
smtp inet n - y - - smtpd
submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
-o smtpd_sasl_security_options=noanonymous
-o smtpd_sasl_local_domain=mail.mydomain.com
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject_unauth_destination
答案1
IMAP 和 POP3 与 Postfix 无关。它们是 MDA 协议,而 Postfix 是 MTA,并且仅支持 SMTP(和 LMTP,简化版本)。您似乎需要的是smtpd_*_restrictions
正确设置 Postfix。
您有一个正确设置的submission
服务(在 中master.cf
),它强制执行 TLS(它有smtpd_tls_security_level=encrypt
)。这是为 MUA 准备的。这是整个 Postfix 配置中唯一可能需要用户身份验证的地方。
您的 MUA 不应通过 SMTP 连接到端口 25(如果它们这样做,您应该更新它们的配置以改用专用submission
端口 587)。向您递送邮件的其他 MTA 不会进行身份验证。因此,消除任何permit_sasl_authenticated
来自main.cf
并设置smtpd_sasl_auth_enable=no
在其中的出现。那么 Postfix 将不支持端口 25 上的任何形式的身份验证。它将专用于仅接收来自其他 MTA 的邮件。
此外,通常您希望permit_mynetworks
首先进入smtpd_*_restrictions
,因为通常您希望系统mynetworks
在发送邮件时不受限制。保持mynetworks
尽可能狭窄的范围(可能localhost
只有),最好设置多个帐户并验证所有内容。
严格来说,纯文本身份验证与 TLS 支持是正交的;存在零知识证明身份验证方案(例如 CHAP、DIGEST、SRP),它们不会通过网络传输密码,无论是纯文本还是加密形式。即使没有传输加密,它们也能提供弹性身份验证。这是在 Postfix 之外配置的,在 SASL 配置中。我没有使用过 Dovecot SASL 库。您不太需要它,因为您的submission
配置强制使用 TLS。