Ich verwende diesen Codeblock darin, /etc/postfix/master.cfum die Leute zu zwingen, sicher"abschicken"E-Mail über Port 465, der das Protokoll SMTPS verwendet. SMTPS unterstützt obligatorisches TLS, das ich verwende, um von Clients zu verlangen, 1."Verschlüsseln"Verbindung mit obligatorischem TLS und 2."authentifizieren"unter Verwendung des SASL-Mechanismus.
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
#
-o smtpd_use_tls=yes
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
#
Das funktioniert wie erwartet. Es funktioniert tatsächlich großartig!
Ich wollte den Port 25auf die gleiche Weise sichern, aber es scheint unmöglich zu sein, da dieser Port zweieingehendeFunktionalitäten, d. h."Vorlage"Und"Relaisempfang" (es ist dumm, die Lebensdauer dieses Ports zu verlängern, wir sollten ihn so schnell wie möglich loswerden).
Auf dem Port 25gibt es nur das Protokoll SMTP, das kein obligatorisches TLS unterstützt! Also füreingehendeE-Mail, d. h. „Übermittlung“ und „Relay-Empfang“, alles, was aktiviert werden kann, ist opportunistisches TLS(kann gehackt werden). Ich kann also nur ein schlechtes"Verschlüsselung"die später mit DANE erweitert werden kann(kann nicht leicht gehackt werden).
Also für Portwein 25habe ich Hoffnungen für meine"Verschlüsselung"irgendwann ausreichend sein, während ich nicht verstehe, wie man SASL einrichtet"Authentifizierung"!
Ich habe versucht, diesen Codeblock zu verwenden, /etc/postfix/master.cfwobei der erste Teil des Codes opportunistisches TLS einrichtet, der zweite Teil des Codes sollte SASL einrichten"Authentifizierung".
smtp inet n - y - - smtpd
-o syslog_name=postfix/smtp
#
-o smtpd_use_tls=yes
-o smtpd_tls_security_level=may
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
#
Leider habe ich diese Zeile entdeckt:
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
auf der einen Seitezwingt Kunden, die wollen"einreichen"E-Mail über Port 25, an"authenticate"Undandererseitslehnt alle „weitergeleiteten“ E-Mails ab, die von anderen MTAs eingehen!
Wie kann ich also beides erreichen:
- zu verhindern, dass jemand aus dem Internet"einreichen"E-Mail über Port
25auf meinem Server. - "Relaisempfang"alle E-Mails, die von anderen MTAs an meinen Port kommen
25.