/etc/postfix/master.cf나는 사람들이 안전하게 작동하도록 강제하기 위해 내부에 이 코드 덩어리를 사용하고 있습니다."제출하다"465프로토콜 SMTPS를 사용하는 포트를 통한 이메일 . SMTPS는 클라이언트에서 첫 번째로 요구하는 데 사용하는 필수 TLS를 지원합니다."암호화"필수 TLS 및 2nd를 사용한 연결"인증하다"SASL 메커니즘을 사용합니다.
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
#
-o smtpd_use_tls=yes
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
#
이것은 예상대로 작동합니다. 실제로는 훌륭하게 작동합니다!
같은 방법으로 포트를 확보하고 싶었는데 25이 포트가 2개라서 불가능할 것 같습니다.인바운드기능, 즉"제출"그리고"릴레이 수신 중" (이 항구의 수명을 연장하는 것은 어리석은 일이며 최대한 빨리 제거해야 합니다).
포트에는 25필수 TLS를 지원하지 않는 프로토콜 SMTP만 있습니다! 그래서인바운드이메일, 즉 "제출" 및 "중계 수신" 활성화할 수 있는 모든 기능은 기회주의적 TLS입니다.(해킹될 수 있음). 그래서 내가 활성화할 수 있는 것은 나쁜 것뿐이다."암호화"나중에 DANE을 사용하여 향상될 수 있음(쉽게 해킹될 수 없음).
그래서 항구에 대해서는 25희망이 있습니다."암호화"SASL을 설정하는 방법을 이해하지 못하는 동안 어느 시점에서는 충분할 것입니다."입증"!
/etc/postfix/master.cf코드의 첫 번째 부분이 기회주의적 TLS를 설정하고 코드의 두 번째 부분이 SASL을 설정해야 하는 경우 이 코드 덩어리를 사용해 보았습니다."입증".
smtp inet n - y - - smtpd
-o syslog_name=postfix/smtp
#
-o smtpd_use_tls=yes
-o smtpd_tls_security_level=may
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
#
불행하게도 나는 다음과 같은 줄을 발견했습니다.
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
한편으로는고객이 원하는 것을 강요합니다."제출하다"포트를 통해 이메일을 보내세요 25."authenticate"그리고반면에다른 MTA에서 도착하는 모든 "릴레이 수신" 이메일을 거부합니다!
그렇다면 어떻게 두 가지를 모두 달성할 수 있습니까?
- 누군가가 인터넷에서 접속하는 것을 막는다"제출하다"
25내 서버의 포트를 사용하여 이메일을 보냅니다 . - "릴레이 수신"다른 MTA에서 내 포트로 오는 모든 이메일
25.