Ao usar Postfix
e IMAP
em um servidor de correio, pelo menos três portas são normalmente abertas
25 smtp : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap : imap for authorized users
Gostaria de configurar o postfix, para que usuários autorizados possam enviar email apenas através do 465. Por padrão, não é assim. Os usuários também podem usar o STARTTLS pela porta 25. Gostaria de desabilitar isso.
Meu plano é usar a porta 25 para o público me enviando email
usar a porta 465 para meus usuários (posso usar firewall para permitir intervalos de IP específicos ou usar porta personalizada)
Isso impediria a porta 25 de ser explorada por ataques de força bruta, onde hackers tentam adivinhar usuário / senha. A porta 25 simplesmente não aceitaria usuário / senha, mesmo que fosse válida. E como a porta 465 é restrita pelo firewall, os hackers também não podem explorar o 465.
Isso é possível no Postfix?
Estou usando o Postfix 2.9.6-2 no Debian Wheezy
Respostas:
AVISO:
A solicitação não segue as práticas recomendadas de segurança porque você desativa o TLS (criptografia) na porta principal de retransmissão de correio, expondo os dados enviados por essa porta a ouvintes de terceiros e / ou modificação em andamento. A resposta abaixo satisfaz a solicitação, mas as práticas recomendadas também requerem STARTTLS para a conexão da porta 25.
O
master.cf
arquivo (geralmente/etc/postfix/master.cf
) controla a inicialização e a configuração de serviços Postfix específicos. Uma configuração como essa nesse arquivo, de acordo com a documentação, fará o que você deseja:Essa configuração desativa a autenticação e a opção STARTTLS na porta 25. Ativa a opção STARTTLS na porta 465, requer o uso de STARTTLS, habilita a autenticação e permite que os clientes se conectem apenas se autenticados.
Você também pode procurar a
smtpd_tls_wrappermode
opção de forçar conexões TLS verdadeiras (e não conexões STARTTLS).Observe que esse tipo de configuração pode dificultar a configuração do Postfix (as opções podem ser definidas
main.cf
e substituídasmaster.cf
). A outra opção é executar várias instâncias do Postfix, cada uma com seus própriosmain.cf
arquivos de configuração que especificam essas opções.fonte
main.cf
, quais teriam preferência? Pelo que você diz, parece que issomaster.cf
substituimain.cf
. Isso está correto?-o
opções substituem as dos arquivos de configuração. Omaster.cf
arquivo coordena a inicialização dos processos e, se você fosse inicializar manualmente os processos com as-o
opções, eles substituiriam qualquer que seja o arquivo de configuração especificado.-o smtpd_tls_security_level=none
eliminará o TLS / tornará tudo texto sem formatação, caso algum servidor esteja tentando retransmitir email ou alguma outra conexão SMTP de servidor para servidor para a porta 25?-o smtpd_tls_security_level=none
vai realmente evitar STARTTLS de trabalhar na porta 25 e, assim, fazer toda a comunicação em texto simples. Foi isso que a pergunta solicitou.