Eu corro um servidor de e-mail virtual usando o Postfix que encaminha e-mails endereçados domain.com
para contas específicas do Gmail / Hotmail. Esse mesmo servidor também atua como um retransmissor de e-mail e saslauthd
permite que as partes façam login e enviem e-mails sobdomain.com.
Atualmente, essa retransmissão de e-mail funciona apenas com a porta 25 sobre TLS (você pode acessá-la criando, por exemplo, um endereço de e-mail somente para envio no Gmail). Devo abrir a porta 587 para essa finalidade em vez de usar a porta 25? Em caso afirmativo, preciso desabilitar o acesso de retransmissão de e-mail pela porta 25 (já que li que 587 é usado em 25 para reduzir o spam)?
Como faço para fazer isso? É tão simples quanto adicionar a submission
porta master.cf
no Postfix?
A porta de envio
587
não é usada diretamente para reduzir o spam, mas a necessidade de outra porta surge do combate ao spam: a porta SMTP25
é normalmente fechada pelo ISP em todas as conexões de internet de nível de consumidor e em todas as outras redes que não devem ter nenhum e-mail servidores. Isso impede que os computadores infectados se comuniquem diretamente com os servidores de recebimento, mas, como efeito colateral, impede que os usuários autenticados também usem a retransmissão. A resposta para a pergunta "devo" depende se seus usuários enfrentam esses problemas. Isso é provavelmente sim .Além disso, há outras razões pelas quais o uso de uma porta separada para envio se torna útil . Para esse tipo de configuração, você não usa a porta
25
para e-mail de saída, o que permite usar configurações separadas (por exemplo,smtpd_sender_restrictions
/smtpd_recipient_restrictions
) para SMTP e envio.Para e-mails recebidos,
25
você geralmente executa muitas verificações como SPF, DMARC, DNS BL. Essas verificações não são muito úteis em conexões autenticadas, são? Você pode simplesmente ignorá-los no envio .Restrições de destinatário ?! A maioria delas são realmente restrições para o remetente , mas eu gosto de dispará-las somente após o comando SMTP
RCPT TO
para obter mais informações de depuração, por exemplo, em falsos positivos.Para envio de e- mail ,
587
você pode querer diferentes tipos de verificações para usuários autenticados. (Essas configurações vão paramaster.cf
e substituem as configurações emmain.cf
. Primeiro, habilitamos a autenticação SASL; essa configuração não está concluída, pois depende do seu provedor SASL. Dovecot? )Você não quer que todos os usuários possam enviar e-mails em nome de outros usuários, não é? Isso é especialmente importante se você assinar DKIM as mensagens. É possível vincular endereços a determinados nomes de usuários. No exemplo a seguir, esses pares de endereço/nome de usuário já estão definidos
virtual_alias_maps
em um formato que também podemos usar aqui, mas sua configuração provavelmente precisa de outro mapeamento, pois você não possui caixas de correio locais.Então, você não quer aceitar emails para domínios que não existem etc, assim como você não quer receber emails desse tipo de domínio na
smtpd_recipient_restrictions
porta for25
. Só que agora eles realmente testam os endereços dos destinatários. Na mesma linha (a quebra de linha é meramente para formatação), você pode impor a autenticação SASL rejeitando tudo o que não for autenticado.