Quero executar um servidor de e-mail para mim (estou inclinado a usar o postfix), mas preciso que ele seja parecido com isto:
[MUA] <-> [MTA inicial] <--> [MTA externo]
O Home MTA fica em um servidor de virtualização na minha casa e só aceita e-mails do MTA externo (por meio de sua configuração, mas também do firewall). O MTA externo só aceita e-mails para meu domínio, tem DKIM/SFP e (inicialmente, de qualquer forma) não vai entregar e-mails para ninguém, exceto meu MTA doméstico.
Acho que se eu fizer isso direito, isso deve me impedir de ser colocado na lista negra e também de doxxar meu IP residencial, já que esse não será o MTA listado usando os registros MX dos meus domínios. Eu penso nisso quase como um bastião ou servidor de salto, mas para e-mail em vez de ssh.
- isso é possível fazer?
- em que mais eu deveria pensar? Por exemplo, encontrei uma página falando sobre como evitar e-mails de retrodispersão, o que não tinha me ocorrido.
- Estou assumindo que o MTA-para-MTA pode ser criptografado e autenticado. Isso é SASL?
- Existe um termo para esse tipo de configuração para que eu possa encontrar uma configuração básica e partir daí? Por exemplo, isso é chamado de relé inteligente com um satélite ou algo assim?
EDIT: Acho que eu gostaria de desabilitar o SMTP em favor do SMTPS e configurar o postfix para não aceitar e-mails de saída de um usuário não autenticado. Isso impede que spammers usem meu MTA para enviar e-mails, certo? Se for esse o caso, por que ainda é geralmente recomendado não executar seu próprio servidor de e-mail devido a ter que lidar com todo o spam?
Sim, a entrega multi-hop faz parte do design original do SMTP. Não é diferente de ter um MX de backup ou usar o encaminhamento de e-mail. O e-mail vem de uma era em que muitas outras redes existiam junto com a Internet, e você frequentemente tinha que usar gateways de e-mail para ir de um lugar para outro.
Cada MTA adiciona uma
Received:linha indicando de onde recebeu a mensagem. Provavelmente terá mais do que isso. Envie alguns e-mails de teste (para um domínio diferente, por exemplo, para o Gmail) e certifique-se de verificar os cabeçalhos completos. Alguns MTAs podem ser configurados para remover os cabeçalhos 'Recebido:', embora, se bem me lembro, eles também façam parte do mecanismo de prevenção de loop do SMTP.Conexões MTA-para-MTA normalmente usam TLS para criptografia. A troca de e-mail padrão na porta 25 usa STARTTLS no modo "espero pelo melhor", mas você geralmente pode configurar seus MTAs para tornar STARTTLS obrigatório para certos destinos ou para usar uma porta "somente TLS" (SMTPS).
(Embora você esteja livre para usar qualquer outro mecanismo de criptografia, por exemplo, SMTP simples sobre IPsec, ou sobre um túnel WireGuard... ou algo totalmente diferente, como UUCP sobre SSH.)
No que diz respeito ao SMTP, o SASL é apenas uma estrutura de autenticação. Sim, tecnicamente ele poderia fornecer criptografia, mas o SMTP não usa esse recurso.
(De fato, muito poucos protocolos o fazem; o LDAP é um deles. Um dos motivos é que a capacidade de criptografia do SASL só está disponível com certos mecanismos SASL – por exemplo, 'GSSAPI' com Kerberos é capaz de produzir uma chave de criptografia, mas 'PLAIN' com uma senha básica não pode fazer isso.)
Assim como com o TLS, você pode usar qualquer autenticação que desejar – você pode exigir SASL, ou usar certificados de cliente TLS, ou autenticação baseada em IP (especialmente com VPNs).
Em termos gerais, o SMTP chama isso de "retransmissão". Enviar e-mails de saída dessa forma (ou seja, confiar em um único servidor proxy/jumphost para toda a lógica de entrega de saída) é comumente chamado de "smart host" ou similar, mas não é um termo oficial, até onde eu saiba.
No lado do cliente, use a
relayhostopção Postfix para direcionar todos os e-mails por meio de um único servidor; no lado do servidor, usetransport_mapspara direcionar e-mails para seu próprio domínio por meio de um sistema específico (substituindo registros MX).(Há muitos exemplos de configuração do Postfix, como, por exemplo, um cliente "smarthost" para o Gmail, que pode ser adaptado para qualquer outro MTA SMTP que aceite TLS e autenticação de senha. Mas geralmente esses exemplos não abrangem e-mails de entrada .)