Postfix

在 postfix 中,如何在 587 上強制執行 tls + auth,同時將 tls 留作 25 可選

  • November 27, 2015

我想為某些域託管郵件服務。我已成功設置後綴來查詢這些虛擬域的 sql。我想做的是:

  • 對於 25 上的連接:

    1. 拒絕中繼(僅發送給我的虛擬域的收件人)
    2. 保留 tls 可選,但僅在客戶端執行 tls 時提供身份驗證
    3. 僅接受未列入黑名單的客戶端(例如,從垃圾郵件中限制 XBL+SBL+PBL)或執行 tls 和 auth 的客戶端(設置為使用 auth 和 tls 對我進行身份驗證的“朋友郵件伺服器”)
  • 對於 587 上的連接:

    1. 強制 tls 和 auth
    2. 允許轉播。
    3. 只接受未列入黑名單的客戶(如上面的黑名單,但不接受 PBL 檢查)

我的問題:

  • A. 我知道上面的後綴選項,但我找不到如何根據偵聽埠來區分它們。
  • B. 使用上述政策的所謂合法客戶是否會遇到廣為人知的問題?

我是郵件伺服器設置的新手,對於任何毫無意義的問題/假設感到抱歉(請指出)。謝謝。

這很容易,

  1. /etc/postfix/main.cf您將添加/更改
smtpd_tls_security_level=may

因此預設情況下 TLS 可用(但可選)。 2. 然後,在您的中,/etc/postfix/master.cf您將通過覆蓋參數來覆蓋埠 587(submission埠):

submission inet n       -       n       -       -       smtpd
 -o smtpd_tls_security_level=encrypt

這需要 TLS 用於所有送出(埠 587)連接。

至於拒絕中繼,這是預設的;中繼只允許經過身份驗證的使用者和您在 中指定的 IP 地址mynetworks

main.cf最後,您可以通過附加到以下內容來添加黑名單smtpd_recipient_restrictions

   reject_rbl_client zen.spamhaus.org,

或任何你想要的黑名單。這些應該出現在列表末尾附近,就在 final 之前permit


最後一件事。有關如何防止垃圾郵件的更多想法,請參閱打擊垃圾郵件 - 作為以下人員我可以做什麼:電子郵件管理員、域所有者或使用者?

引用自:https://serverfault.com/questions/481477