ポート25でSASL認証を要求すると、すべての受信メールが拒否されます

tag-icon tag-icon postfix smtp sasl
ポート25でSASL認証を要求すると、すべての受信メールが拒否されます

このコードの一部を使って、/etc/postfix/master.cf人々に安全に「提出」SMTPSプロトコルを使用するポートを介して電子メールを送信します465。SMTPSは必須のTLSをサポートしており、クライアントから最初に要求するために使用します。「暗号化」必須のTLSと2番目の"認証する"SASL メカニズムを使用します。

smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
#
  -o smtpd_use_tls=yes
  -o smtpd_tls_wrappermode=yes
  -o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
  -o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
  -o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
  -o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=smtpd
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#

これは期待通りに動作します。実際、素晴らしい動作をします!

25同じようにポートを保護したかったのですが、このポートには2つのポートがあるため不可能のようです。インバウンド機能、すなわち"提出"そして「リレー受信」 (このポートの寿命を延ばすのは愚かなことなので、できるだけ早く取り除く必要があります)

ポートには25必須のTLSをサポートしていないプロトコルSMTPしかありません。インバウンド電子メール、つまり「送信」と「リレー受信」を有効にできるのは、日和見TLSだけです。(ハッキングされる可能性があります)だから私ができるのは悪い「暗号化」これは後でDANEを使用して強化することができます(簡単にハッキングされることはありません)

だから25私は港に期待している「暗号化」SASLの設定方法がわからないため、ある時点で十分である「認証」

私はこのコードチャンクを使ってみました。/etc/postfix/master.cfコードの最初の部分は日和見TLSを設定し、コードの2番目の部分はSASLを設定する必要があります。「認証」

smtp      inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtp
#
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=may
  -o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
  -o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
  -o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
  -o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=smtpd
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
#

残念なことに、私は次の行を発見しました:

  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

一方ではクライアントは、"提出する"ポート経由で電子メールを25送信"authenticate"そして一方で他の MTA から到着するすべての「リレー受信」電子メールを拒否します。

では、どうすれば両方を達成できるでしょうか。

  • インターネットから誰かを"提出する"25私のサーバーのポートを使用して電子メールを送信します。
  • 「リレー受信」他の MTA から私のポートに届くすべての電子メール25

関連情報