Wie kann ich meinen Postfix-Server dazu bringen, E-Mails nur über Port 587 zu senden und TLS mit Port 587 mit sicherer Authentifizierung (die Linux-Systembenutzer verwendet) zu aktivieren?
Zunächst einmal scheint diese Frage zu allgemein, aber ich konnte im Internet keine einzige Lösung dafür finden. Viele Artikel bieten zwar eine Lösung, lassen aber einige Teile aus.
Ich möchte eine Authentifizierung und TLS-Verbindungen erzwingen.
Ich kann die Konfiguration posten, wenn mich jemand fragt.
Vielen Dank im Voraus. Ich bin neu bei Postfix. Außerdem könnte ich einen Blick darauf werfenhttp://www.postfix.org/documentation.html, aber bevor Sie mir davon erzählen: Ich kann es nicht richtig verstehen, daher bin ich sicher, dass ich eine Konfiguration durcheinanderbringen und meinen Server unbrauchbar machen würde. Außerdem wurde Postfix hier mit dem apt-Paketmanager installiert. Aber ich bin sicher, dass dies nicht unbedingt mit Ubuntu zusammenhängt. Ich habe Exim4 verwendet, bevor ich Postfix verwendet habe, aber es gibt so wenig Unterstützung für Exim, weil die meisten Leute es in cPanel haben, also bekomme ich keine Unterstützung für Vanilla Exim.
Hier ist dringend Hilfe erforderlich, da die Sicherheit unseres Servers in Gefahr ist.
Antwort1
Um Port 587 zu aktivieren, bearbeiten Sie die Datei/etc/postfix/master.cf
vi /etc/postfix/master.cf
und entfernen Sie das # vor der Zeile (entkommentieren Sie die Zeile):
#submission inet n - n - - smtpd
so dass es folgendermaßen aussieht:
submission inet n - n - - smtpd
Möglicherweise möchten Sie weitere Zeilen, die die SASL-Authentifizierung direkt nach dieser Zeile aktivieren, auskommentieren. Jede neue Zeile sollte mit einem Leerzeichen beginnen!
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
Alle anderen Einstellungen müssen in/etc/postfix/main.cfbasierend auf Ihrer Umgebung.
Darüber hinaus müssen Sie möglicherweise TLS-Einstellungen konfigurieren:
# TLS parameters
# you need to specify a real certificate location
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert.key
smtpd_use_tls=yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtpd_sasl_tls_security_options=noanonymous
smtpd_tls_auth_only=yes
Je nachdem, ob Sie Dovecot zum Empfangen von E-Mails verwenden, müssen Sie möglicherweise Folgendes hinzufügen:
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/dovecot-auth
broken_sasl_auth_clients=yes
Zusätzliche Sicherheitsbeschränkungen:
smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_helo_hostname,reject_non_fqdn_sender,reject_unknown_sender_domain,reject_non_fqdn_recipient,reject_unknown_recipient_domain
Postfix prüfen und neu starten:
postfix check
systemctl restart postfix
Sie können sicherstellen, dass Postfix jetzt auf den beiden Ports 25 und 587 lauscht:
netstat -na | grep LISTEN | grep 25
netstat -na | grep LISTEN | grep 587
Vergessen Sie nicht, Port 587 in Ihrer Firewall zuzulassen.
Die Erstellung von Postfix-Benutzern ist eine andere Geschichte. Wie in den Kommentaren erwähnt, sollten Sie SQL verwenden, um Postfächer (Mail-Benutzer) zu speichern. Wenn Sie dies nicht möchten, können Sie Linux-Benutzer verwenden, die im Detail beschrieben werdenHier.
PS: Ich halte es nicht für machbar, hier die vollständige Konfiguration bereitzustellen, da diese immer stark von den spezifischen Fallanforderungen und Ihrer Umgebung abhängt.
Antwort2
Dadurch werden nur sichere Verbindungen zugelassen:
smtpd_tls_auth_only = yes
Dann stehen Ihnen noch die weiteren benötigten Optionen zur Verfügung:
smtpd_tls_security_level = may
smtp_sasl_auth_enable = yes
smtp_use_tls = yes
Um 587 zu verwenden, bearbeiten Sie master.cf und heben Sie die Kommentarzeichenfolge in der Zeile auf:
submission inet n - n - - smtpd
Das Neustart-Postfix.