配置 postfix 对一个域强制执行客户端证书身份验证

这对于单个实例是不可能的smtpd，但您可以smtpd通过配置多个实例master.cf，因为您已经应该有一个实例用于处理端口上的传入邮件25，另一个实例用于处理端口上的出站邮件（根据465RFC 8314, 3隐式 TLS ）或587使用纯文本和 STARTTLS。

我建议587为旧客户端配置端口，因为它已经支持纯文本，并且 TLS 只能通过 STARTTLS 获得，而在端口上465TLS 握手会立即开始 - 这完全符合您的新域的要求。

我们假设example.com是旧域和example.net受保护域。

关键是：

1. 使用不同的myhostname配置
2. 限制允许的发件人地址 smtpd_sender_restrictions=reject_unlisted_sender

在master.cf：

# Legacy access on submission port 587 for example.com
submission  inet  n  -  -  -  -  smtpd
  -o myhostname=example.com
  -o smtpd_tls_security_level=may
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_sender_restrictions=reject_unlisted_sender
  -o { smtpd_recipient_restrictions=
         reject_non_fqdn_recipient,
         reject_unknown_recipient_domain,
         permit_sasl_authenticated, reject }

# Client certificate required on port 465 for example.net
smtps inet  n  -  -  -  -  smtpd
  -o myhostname=example.net
  -o smtpd_tls_wrappermode=yes
  -o smtpd_tls_req_ccert=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_sender_restrictions=reject_unlisted_sender
  -o { smtpd_recipient_restrictions=
         reject_non_fqdn_recipient,
         reject_unknown_recipient_domain,
         permit_sasl_authenticated, reject }

您甚至可以强制某些用户只能使用某些地址，这适用于两种配置，例如

  -o smtpd_sender_login_maps=hash:/etc/postfix/virtual
  -o { smtpd_sender_restrictions =
         reject_unlisted_sender,
         reject_sender_login_mismatch }