Estou usando esse pedaço de código interno /etc/postfix/master.cfpara forçar as pessoas a fazer isso com segurança"submeter"e-mail através da porta 465que utiliza o protocolo SMTPS. SMTPS suporta TLS obrigatório que eu uso para exigir dos clientes até o primeiro"criptografar"conexão usando TLS obrigatório e 2º"autenticar"usando mecanismo SASL.
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
#
-o smtpd_use_tls=yes
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
#
Isso funciona conforme o esperado. Na verdade funciona muito bem!
Eu queria proteger a porta 25da mesma forma, mas parece impossível porque esta porta tem doisentradafuncionalidades, ou seja"submissão"e"relé recebendo" (é estúpido prolongar a vida deste porto do qual deveríamos nos livrar o mais rápido possível).
Na porta 25existe apenas o protocolo SMTP que não suporta TLS obrigatório! Então, paraentradae-mail, ou seja, "envio" e "retransmissão de recebimento", tudo o que pode ser ativado é TLS oportunista(pode ser hackeado). Então, tudo que posso ativar é ruim"criptografia"que pode posteriormente ser aprimorado usando DANE(não pode ser hackeado facilmente).
Então, para o porto, 25tenho esperanças no meu"criptografia"ser suficiente em algum momento enquanto eu não entendo como configurar o SASL"autenticação"!
Eu tentei usar este pedaço de código em /etc/postfix/master.cfque a primeira parte do código configura o TLS oportunista, a segunda parte do código deve configurar o SASL"autenticação".
smtp inet n - y - - smtpd
-o syslog_name=postfix/smtp
#
-o smtpd_use_tls=yes
-o smtpd_tls_security_level=may
-o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
-o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
-o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
-o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
-o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
#
Infelizmente, descobri essa linha:
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
por um ladoforça os clientes, que querem"enviar"e-mail através da porta 25, para"authenticate"epor outro ladorejeita todos os e-mails de "retransmissão recebidos" que chegam de outro MTA!
Então, como posso conseguir ambos:
- impedindo que qualquer pessoa da internet"enviar"email usando a porta
25no meu servidor. - "retransmissão de recepção"todos os emails vindos de outro MTA para minha porta
25.