Postfix:ポート25経由の認証を無効にする


12

メールサーバーを使用PostfixしていIMAPて、通常、少なくとも3つのポートが開かれている

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

承認されたユーザーが465経由でのみメールを送信できるように、postfixを設定したいと思います。デフォルトでは、そうではありません。ユーザーはポート25でSTARTTLSを使用することもできます。無効にしたいと思います。

私の計画は、私に電子メールを送信するためにポート25を使用することです

ユーザーにはポート465を使用します(ファイアウォールを使用して特定のIP範囲を許可するか、カスタムポートを使用できます)

これにより、ハッカーがユーザー/パスワードを推測しようとするブルートフォース攻撃からポート25が悪用されるのを防ぎます。ポート25は、たとえ有効であっても、単にユーザー/パスワードを受け入れません。また、ポート465はファイアウォールによって制限されているため、ハッカーも465を利用することはできません。

これはPostfixで可能ですか?

Debian WheezyでPostfix 2.9.6-2を使用しています


1
私はこれが古いことを知っていますが、これは適切なポートなので常にポート587(送信)を許可する必要があります。
lbutlr 2016年

回答:


14

警告:
メインのメールリレーポートでTLS(暗号化)を無効にし、そのポートを介して送信されたデータをサードパーティのリスナーや機内での変更に公開するため、リクエストはセキュリティのベストプラクティスに従っていません。以下の答えは要求を満たしますが、ベストプラクティスでは、ポート25接続にもSTARTTLSが必要です。

master.cfファイル(通常は/etc/postfix/master.cf)特定のPostfixサービスの起動と設定を制御します。ドキュメントによると、このファイルのこのような設定は、あなたが望むことを行います:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

この構成は、ポート25で認証とSTARTTLSオプションをオフにします。ポート465でSTARTTLSオプションをオンにし、STARTTLSの使用を必要とし、認証を有効にし、認証された場合にのみクライアントに接続を許可します。

また、smtpd_tls_wrappermode真のTLS接続を強制するオプションを検討することもできます(STARTTLS接続ではありません)。

この種の設定は、Postfixの設定をいくらか難しくする可能性があることに注意してください(オプションをに設定してmain.cfから、でオーバーライドすることができますmaster.cf)。もう1つのオプションは、Postfixの複数のインスタンスを実行することです。それぞれのインスタンスには、main.cfこれらのオプションを指定する独自の構成ファイルがあります。


1
で競合するオプションが設定されているmain.cf場合、どのオプションが優先されますか?あなたの言うことから、それがmaster.cfオーバーライドするようですmain.cf。これは正しいです?
Martin Vegter、2014

1
-oオプションは、構成ファイルのオプションをオーバーライドします。master.cfファイルには、プロセスの起動を調整し、あなたが手でプロセスを起動した場合-oのオプション、彼らは、設定ファイルが指定されたものは何でもオーバーライドします。
2014

ではないだろう-o smtpd_tls_security_level=noneいくつかのサーバは、電子メールまたはポート25にはいくつかの他のサーバーからサーバーへのSMTP接続を中継しようとしている場合にはTLS /メイクすべてプレーンテキストを殺しますか?
TCB13 2018

これ-o smtpd_tls_security_level=noneにより、ポート25でSTARTTLSが機能しなくなり、すべての通信がプレーンテキストで行われるようになります。それが質問が要求したものです。
2018

上記の理由により、私はまだこれに反対票を投じています。OPの要求を順守することは問題ありませんが、非常に悪い考えである大文字の警告を追加する必要があります。(それを追加して、代わりに
賛成し
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.