Estoy usando este fragmento de código interno /etc/postfix/master.cfpara obligar a las personas a realizar operaciones de forma segura."subimtar"correo electrónico a través del puerto 465que utiliza el protocolo SMTPS. SMTPS admite TLS obligatorio que uso para exigir a los clientes hasta el 1er."cifrar"conexión usando TLS obligatorio y 2do"autenticar"utilizando el mecanismo SASL.
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
#
-o smtpd_use_tls=yes
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
#
Esto funciona como se esperaba. ¡Realmente funciona muy bien!
Quería asegurar el puerto 25de la misma manera pero parece imposible ya que este puerto tiene dosentrantefuncionalidades es decir"envío"y"receptor de relé" (es una estupidez prolongar la vida de este puerto del que deberíamos deshacernos lo antes posible).
¡En el puerto 25solo hay un protocolo SMTP que no admite TLS obligatorio! entonces paraentrantecorreo electrónico, es decir, "envío" y "recepción de retransmisión", todo lo que se puede habilitar es TLS oportunista(puede ser pirateado). Entonces todo lo que puedo habilitar es un mal"cifrado"que luego se puede mejorar usando DANE(no se puede piratear fácilmente).
Así que para el puerto 25tengo esperanzas para mi"cifrado"ser suficiente en algún momento mientras no entiendo cómo configurar SASL"autenticación"!
Intenté usar este fragmento de código en /etc/postfix/master.cfel que la primera parte del código configura TLS oportunista y la segunda parte del código debería configurar SASL."autenticación".
smtp inet n - y - - smtpd
-o syslog_name=postfix/smtp
#
-o smtpd_use_tls=yes
-o smtpd_tls_security_level=may
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
#
Desafortunadamente, descubrí esa línea:
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
por un ladoobliga a los clientes que quieren"entregar"correo electrónico a través del puerto 25, a"authenticate"ypor otro ladorechaza todos los correos electrónicos de "retransmisión recibida" que llegan de otro MTA.
Entonces, ¿cómo puedo lograr ambas cosas?
- impedir que alguien acceda a Internet"entregar"correo electrónico usando el puerto
25de mi servidor. - "recibir retransmisión"todo el correo electrónico procedente de otro MTA a mi puerto
25.