今天我无意中发现我可以通过普通的旧 smtp pot 25 从我的 postfix 邮件服务器发送电子邮件。我摸不着头脑为什么会这样,即使我将 postfix 配置为在出站时只接受加密的 TLS 连接。我错过了什么?
这是我的 main.cf 中的配置部分:
### Outbound SMTP connections (Postfix as sender)###
smtp_use_tls = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
smtp_tls_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_mandatory_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers = high
### Inbound SMTP connections ###
smtpd_use_tls = yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_security_options = noanonymous
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.com/privkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_relay_restrictions = permit_sasl_authenticated, reject_unauth_destination
smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_sasl_authenticated,permit_mynetworks
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain
###smtpd tls xtraconf
#For tls header info show
smtpd_tls_received_header = yes
# More detailed tls neg log smtpd_tls_loglevel = 2
smtpd_tls_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_mandatory_protocols = !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_preempt_cipherlist = yes
smtputf8_enable = no
大师.cf:
smtp inet n - y - - smtpd
submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
-o smtpd_sasl_security_options=noanonymous
-o smtpd_sasl_local_domain=mail.mydomain.com
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject_unauth_destination
IMAP 和 POP3 与 Postfix 无关。这些是 MDA 协议,而 Postfix 是 MTA,它只支持 SMTP(和 LMTP,想想简化版本)。您似乎需要的是正确设置 Postfix
smtpd_*_restrictions。您有一个正确设置的
submission服务(在 中master.cf),它强制执行 TLS(它有smtpd_tls_security_level=encrypt)。这是针对 MUA 的。这是整个 Postfix 配置中唯一可能需要用户身份验证的地方。您的 MUA 不应通过 SMTP 连接到端口 25(如果连接,您应该更新其配置以使用专用
submission端口 587)。其他向您投递邮件的 MTA 不会进行身份验证。因此,删除任何出现的permit_sasl_authenticatedfrommain.cf并smtpd_sasl_auth_enable=no在其中设置。然后 Postfix 将不支持端口 25 上的任何形式的身份验证。它将专用于仅接收来自其他 MTA 的邮件。此外,通常您希望
permit_mynetworks首先进入smtpd_*_restrictions,因为通常您希望系统在mynetworks发送邮件的位置不受限制。mynetworks尽可能缩小(可能只有localhost),最好设置多个帐户并验证所有内容。严格来说,明文身份验证与 TLS 支持正交;有零知识证明身份验证方案(例如 CHAP、DIGEST、SRP),它们不通过网络传输密码,无论是纯文本还是加密形式。即使没有传输加密,它们也能提供弹性身份验证。这是在 Postfix 之外的 SASL 配置中配置的。我对 Dovecot SASL 库没有任何经验。您不是很需要它,因为您的
submission配置强制执行 TLS。