Al usar Postfix
y IMAP
en un servidor de correo, generalmente se abren al menos 3 puertos
25 smtp : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap : imap for authorized users
Me gustaría configurar postfix, para que los usuarios autorizados solo puedan enviar correos electrónicos a través de 465. Por defecto, esto no es así. Los usuarios también pueden usar STARTTLS a través del puerto 25. Me gustaría deshabilitar eso.
Mi plan es usar el puerto 25 para que el público me envíe un correo electrónico
usar el puerto 465 para mis usuarios (puedo usar el firewall para permitir rangos de IP específicos, o usar un puerto personalizado)
Esto evitaría que el puerto 25 sea explotable por ataques de fuerza bruta, donde los piratas informáticos intentan adivinar el usuario / contraseña. El puerto 25 simplemente no aceptaría usuario / contraseña, incluso si fuera válido. Y dado que el puerto 465 está restringido por firewall, los hackers tampoco pueden explotar 465.
¿Es esto posible en Postfix?
Estoy usando Postfix 2.9.6-2 en Debian Wheezy
Respuestas:
ADVERTENCIA:
La solicitud no sigue las mejores prácticas de seguridad porque deshabilita TLS (cifrado) en su puerto principal de retransmisión de correo, exponiendo los datos enviados a través de ese puerto a escuchas de terceros y / o modificaciones en vuelo. La respuesta a continuación satisface la solicitud, pero la mejor práctica requiere STARTTLS para la conexión del puerto 25 también.
El
master.cf
archivo (generalmente/etc/postfix/master.cf
) controla el inicio y la configuración de servicios específicos de Postfix. Una configuración como esta en ese archivo, de acuerdo con la documentación, hará lo que desee:Esta configuración desactiva la autenticación y la opción STARTTLS en el puerto 25. Activa la opción STARTTLS en el puerto 465, requiere el uso de STARTTLS, habilita la autenticación y solo permite que los clientes se conecten si están autenticados.
También puede buscar la
smtpd_tls_wrappermode
opción de forzar conexiones TLS verdaderas (y no conexiones STARTTLS).Tenga en cuenta que este tipo de configuración puede hacer que la configuración de Postfix sea algo difícil de seguir (las opciones pueden establecerse
main.cf
y luego anularsemaster.cf
). La otra opción es ejecutar múltiples instancias de Postfix, cada una con sus propiosmain.cf
archivos de configuración que especifican estas opciones.fuente
main.cf
, ¿cuáles preferirían? Por lo que dices, parece quemaster.cf
anulamain.cf
. ¿Es esto correcto?-o
opciones anulan las de los archivos de configuración. Elmaster.cf
archivo coordina el inicio de los procesos, y si tuviera que iniciar los procesos manualmente con las-o
opciones, anularían cualquier archivo de configuración especificado.-o smtpd_tls_security_level=none
matará TLS / hará que todo sea texto simple en caso de que algún servidor esté tratando de retransmitir correo electrónico o alguna otra conexión SMTP de servidor a servidor al puerto 25?-o smtpd_tls_security_level=none
hecho, evitará que STARTTLS funcione en el puerto 25 y, por lo tanto, realice todas las comunicaciones en texto sin formato. Eso es lo que solicitó la pregunta.