Postfix: desabilite a autenticação pela porta 25

12

Ao usar Postfixe IMAPem um servidor de correio, pelo menos três portas são normalmente abertas

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

Gostaria de configurar o postfix, para que usuários autorizados possam enviar email apenas através do 465. Por padrão, não é assim. Os usuários também podem usar o STARTTLS pela porta 25. Gostaria de desabilitar isso.

Meu plano é usar a porta 25 para o público me enviando email

usar a porta 465 para meus usuários (posso usar firewall para permitir intervalos de IP específicos ou usar porta personalizada)

Isso impediria a porta 25 de ser explorada por ataques de força bruta, onde hackers tentam adivinhar usuário / senha. A porta 25 simplesmente não aceitaria usuário / senha, mesmo que fosse válida. E como a porta 465 é restrita pelo firewall, os hackers também não podem explorar o 465.

Isso é possível no Postfix?

Estou usando o Postfix 2.9.6-2 no Debian Wheezy

Martin Vegter
fonte
1
Eu sei que isso é antigo, mas você deve sempre permitir a porta 587 (envio), pois esta é a porta correta.
lbutlr

Respostas:

14

AVISO:
A solicitação não segue as práticas recomendadas de segurança porque você desativa o TLS (criptografia) na porta principal de retransmissão de correio, expondo os dados enviados por essa porta a ouvintes de terceiros e / ou modificação em andamento. A resposta abaixo satisfaz a solicitação, mas as práticas recomendadas também requerem STARTTLS para a conexão da porta 25.

O master.cfarquivo (geralmente /etc/postfix/master.cf) controla a inicialização e a configuração de serviços Postfix específicos. Uma configuração como essa nesse arquivo, de acordo com a documentação, fará o que você deseja:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Essa configuração desativa a autenticação e a opção STARTTLS na porta 25. Ativa a opção STARTTLS na porta 465, requer o uso de STARTTLS, habilita a autenticação e permite que os clientes se conectem apenas se autenticados.

Você também pode procurar a smtpd_tls_wrappermodeopção de forçar conexões TLS verdadeiras (e não conexões STARTTLS).

Observe que esse tipo de configuração pode dificultar a configuração do Postfix (as opções podem ser definidas main.cfe substituídas master.cf). A outra opção é executar várias instâncias do Postfix, cada uma com seus próprios main.cfarquivos de configuração que especificam essas opções.

assustador
fonte
1
se opções conflitantes fossem definidas main.cf, quais teriam preferência? Pelo que você diz, parece que isso master.cfsubstitui main.cf. Isso está correto?
Martin Vegter
1
As -oopções substituem as dos arquivos de configuração. O master.cfarquivo coordena a inicialização dos processos e, se você fosse inicializar manualmente os processos com as -oopções, eles substituiriam qualquer que seja o arquivo de configuração especificado.
Hrunting
Não -o smtpd_tls_security_level=noneeliminará o TLS / tornará tudo texto sem formatação, caso algum servidor esteja tentando retransmitir email ou alguma outra conexão SMTP de servidor para servidor para a porta 25?
TCB13 11/0218
O -o smtpd_tls_security_level=nonevai realmente evitar STARTTLS de trabalhar na porta 25 e, assim, fazer toda a comunicação em texto simples. Foi isso que a pergunta solicitou.
21818 hrunting
Ainda estou com voto negativo pelo motivo acima. A conformidade com a solicitação do OP é boa, mas você deve adicionar um aviso de letras maiúsculas que é uma péssima idéia. (Por favor, deixe-me upvote você em vez disso, por acrescentando que ;-).)
ntninja