대본:
Postfix 서버는 호스팅 회사의 VPS에서 실행됩니다.
Dovecot IMAP 서버는 사무실 내부에서 실행됩니다.
우리는 Postfix가 최소한의 중간 소프트웨어를 사용하여 수신한 메일을 Dovecot IMAP 서버로 푸시하기를 원합니다. 이 전송은 공개 인터넷을 통해 이루어집니다.
따라서 Postfix는 TCP를 통한 가상 전송에 LMTP를 사용할 수 있고 Dovecot은 TCP를 통한 LMTP를 수신할 수 있다는 것을 알 수 있습니다.
하지만 악성 메일 서버가 Postfix를 우회하고 열려 있는 LMTP 포트의 Dovecot에 메일을 삽입하는 것을 어떻게 막을 수 있을까요?
LMTP 서비스를 TLS를 통한 비밀번호(최소한) 또는 공통 CA에서 서명한 양방향 TLS 인증서 확인과 같은 인증 방법으로 보호하여 두 서버가 서로의 신원을 확인할 수 있습니까(더 이상적으로는) )?
답변1
LMTP(로컬 메일 전송 프로토콜)는 이메일 메시지의 로컬 전달을 위해 설계되었으며 기본적으로 SMTP와 같은 인증을 지원하지 않습니다. 특히 개방형 인터넷을 통해 LMTP를 사용하여 Postfix와 Dovecot 간에 메일을 전송할 때 보안이 중요합니다.
특정 시나리오를 해결하려면 다음을 수행하세요.
TLS 암호화:Postfix와 Dovecot은 모두 LMTP에 대한 TLS 암호화를 지원합니다. 이렇게 하면 두 서버 간에 전송되는 데이터가 암호화되어 쉽게 가로챌 수 없습니다.
양방향 TLS 인증서 확인:이는 상호 TLS(mTLS)라고도 합니다. mTLS를 사용하면 클라이언트(이 경우 Postfix)와 서버(Dovecot) 모두 인증서를 제시하여 서로의 신원을 증명합니다. 이렇게 하면 두 당사자 모두 신뢰할 수 있는 엔터티가 됩니다. Postfix와 Dovecot 모두 mTLS를 지원합니다.
방화벽 규칙:무단 액세스를 방지하는 한 가지 방법은 Dovecot LMTP 포트에 연결할 수 있는 IP를 제한하는 것입니다. Postfix 서버의 IP 주소에서만 연결을 허용하도록 방화벽 규칙을 구성할 수 있습니다.
VPN 또는 SSH 터널:또 다른 접근 방식은 Postfix 서버와 Dovecot 서버 사이에 VPN 또는 SSH 터널을 설정하는 것입니다. 이렇게 하면 LMTP 트래픽이 이 보안 터널을 통해 전송되어 또 다른 보안 계층이 추가됩니다.
입증:LMTP 자체는 인증을 지원하지 않지만 앞서 언급한 mTLS 또는 VPN과 같은 다른 메커니즘을 사용하여 연결을 효과적으로 "인증"할 수 있습니다.
요약하자면LMTP는 기존 사용자 이름/비밀번호 인증을 지원하지 않지만 TLS, mTLS, 방화벽 규칙 및 잠재적으로 VPN 또는 SSH 터널의 조합을 사용하여 Postfix와 Dovecot 간의 연결을 보호할 수 있습니다. 두 서버가 서로의 인증서를 확인하는 mTLS 접근 방식은 두 당사자의 신원을 보장하는 강력한 방법입니다.