我是邮件服务器世界的新手,并且一直致力于在Ubuntu 11.10上通过Postfix设置我自己的邮件服务器.到目前为止,我通过TLS进行SASL身份验证,这样做很好;我现在担心安全问题.
简而言之:我希望Postfix接受所有未经身份验证的传入邮件,但只允许经过身份验证的传出邮件.这也让我想知道我是否在端口465和587上有STARTTLS和TLS支持,我还需要监听端口25吗?如果25关闭,邮件服务器是否会尝试在端口587上发送邮件?
但回到允许未经身份验证的传入,但只有经过身份验证的传出,我尝试添加
-o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject
到我的master.cf文件中的smtp行,但然后阻止未经身份验证的传入邮件.有没有办法只允许端口25上的传入,并留下端口465/587仅用于传出?
我不确定它能做什么,但如果有必要,我可以发布我的配置的其余部分.任何帮助都非常感谢,因为我对这一切都是新手并且仍然令人困惑.谢谢!
正如您所理解的那样,在master.cf中应用选项以基于每个端口覆盖main.cf中的选项.
要实现您的目标,您希望将限制设置为smtpd_recipient_restrictions而不是smtpd_client_restrictions.关键是reject_unauth_destination而不是拒绝:
mydestination = aardvark.com,acme.com smtpd_recipient_restrictions = permit_sasl_authenticated,reject_unauth_destination
这可以防止未经身份验证的客户端发送到您不负责的任何域.在这种情况下,你负责的领域不仅仅是我的目标.请参见手册中的reject_unauth_destination.
