Postfix 在特定端口上接受邮件

Question

dan

Asked: 2012-05-17 05:08:29 +0800 CST2012-05-17 05:08:29 +0800 CST 2012-05-17 05:08:29 +0800 CST

您能否将 Postfix 设置为仅对来自特定域或 IP 的传入电子邮件强制执行 TLS？

我正在寻找一个类似 Postfix 配置选项的选项smtpd_enforce_tls，它可以让我有选择地执行 TLS，具体取决于电子邮件来自哪个域。我需要允许来自除某些选定原始域之外的所有域的非 TLS 传入电子邮件。

这可能吗？我知道有选择地对从 Postfix 发出的电子邮件执行 TLS 很简单，但我说的是传入的电子邮件。

adaptr · Answer 1 · 2012-05-20T04:34:22+08:00

Best Answer

adaptr

是的，你可以 - 只需一点工程 :)

由于您说要基于发件人域强制执行 TLS，因此您向 smtpd_sender_restrictions 添加了一个 check_sender_access 限制，如下所示：

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enforced_tls

并在/etc/postfix/enforced_tls：

@example.org   reject_plaintext_session
@example.net   reject_plaintext_session

不要忘记对文件进行后映射，并在完成后重新加载后缀。

Georgi Kosev · Answer 2 · 2012-07-19T04:47:55+08:00

Georgi Kosev

/etc/postfix/enforced_tls必须采用这种格式：

example.org   reject_plaintext_session
example.net   reject_plaintext_session

rvjr · Answer 3 · 2018-05-26T13:30:12+08:00

rvjr

我什至会建议一个更严格的版本，也需要来自发送服务器的有效证书，如下所示：

/etc/postfix/main.cf:

...
smtpd_tls_ask_ccert = 是
smtpd_sender_restrictions = check_sender_access 哈希：/etc/postfix/enfoced_tls
...

/etc/postfix/enforced_tls:

example.org reject_plaintext_session，permit_tls_all_clientcerts，拒绝
example.net reject_plaintext_session, permit_tls_all_clientcerts, 拒绝

当无法通过中的 CA 验证连接服务器的证书时，这也应该拒绝会话smtpd_tls_CAfile，在这种情况下，它可以安全地包含系统默认 CA。如果我在这里弄错了，请纠正我。