在 postfix 中，如何在 587 上強制執行 tls + auth，同時將 tls 留作 25 可選

我想為某些域託管郵件服務。我已成功設置後綴來查詢這些虛擬域的 sql。我想做的是：

• 對於 25 上的連接：

  1. 拒絕中繼（僅發送給我的虛擬域的收件人）
  2. 保留 tls 可選，但僅在客戶端執行 tls 時提供身份驗證
  3. 僅接受未列入黑名單的客戶端（例如，從垃圾郵件中限制 XBL+SBL+PBL）或執行 tls 和 auth 的客戶端（設置為使用 auth 和 tls 對我進行身份驗證的“朋友郵件伺服器”）

• 對於 587 上的連接：

  1. 強制 tls 和 auth
  2. 允許轉播。
  3. 只接受未列入黑名單的客戶（如上面的黑名單，但不接受 PBL 檢查）

我的問題：

• A. 我知道上面的後綴選項，但我找不到如何根據偵聽埠來區分它們。
• B. 使用上述政策的所謂合法客戶是否會遇到廣為人知的問題？

我是郵件伺服器設置的新手，對於任何毫無意義的問題/假設感到抱歉（請指出）。謝謝。

這很容易，

1. 在/etc/postfix/main.cf您將添加/更改

smtpd_tls_security_level=may

因此預設情況下 TLS 可用（但可選）。 2. 然後，在您的中，/etc/postfix/master.cf您將通過覆蓋參數來覆蓋埠 587（submission埠）：

submission inet n       -       n       -       -       smtpd
 -o smtpd_tls_security_level=encrypt

這需要 TLS 用於所有送出（埠 587）連接。

至於拒絕中繼，這是預設的；中繼只允許經過身份驗證的使用者和您在 中指定的 IP 地址mynetworks。

main.cf最後，您可以通過附加到以下內容來添加黑名單smtpd_recipient_restrictions：

   reject_rbl_client zen.spamhaus.org,

或任何你想要的黑名單。這些應該出現在列表末尾附近，就在 final 之前permit。

---

最後一件事。有關如何防止垃圾郵件的更多想法，請參閱打擊垃圾郵件 - 作為以下人員我可以做什麼：電子郵件管理員、域所有者或使用者？

引用自：https://serverfault.com/questions/481477