このコードの一部を使って、/etc/postfix/master.cf
人々に安全に「提出」SMTPSプロトコルを使用するポートを介して電子メールを送信します465
。SMTPSは必須のTLSをサポートしており、クライアントから最初に要求するために使用します。「暗号化」必須のTLSと2番目の"認証する"SASL メカニズムを使用します。
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
#
-o smtpd_use_tls=yes
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
#
これは期待通りに動作します。実際、素晴らしい動作をします!
25
同じようにポートを保護したかったのですが、このポートには2つのポートがあるため不可能のようです。インバウンド機能、すなわち"提出"そして「リレー受信」 (このポートの寿命を延ばすのは愚かなことなので、できるだけ早く取り除く必要があります)。
ポートには25
必須のTLSをサポートしていないプロトコルSMTPしかありません。インバウンド電子メール、つまり「送信」と「リレー受信」を有効にできるのは、日和見TLSだけです。(ハッキングされる可能性があります)だから私ができるのは悪い「暗号化」これは後でDANEを使用して強化することができます(簡単にハッキングされることはありません)。
だから25
私は港に期待している「暗号化」SASLの設定方法がわからないため、ある時点で十分である「認証」!
私はこのコードチャンクを使ってみました。/etc/postfix/master.cf
コードの最初の部分は日和見TLSを設定し、コードの2番目の部分はSASLを設定する必要があります。「認証」。
smtp inet n - y - - smtpd
-o syslog_name=postfix/smtp
#
-o smtpd_use_tls=yes
-o smtpd_tls_security_level=may
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
#
残念なことに、私は次の行を発見しました:
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
一方ではクライアントは、"提出する"ポート経由で電子メールを25
送信"authenticate"
そして一方で他の MTA から到着するすべての「リレー受信」電子メールを拒否します。
では、どうすれば両方を達成できるでしょうか。
- インターネットから誰かを"提出する"
25
私のサーバーのポートを使用して電子メールを送信します。 - 「リレー受信」他の MTA から私のポートに届くすべての電子メール
25
。