접미사 : 포트 25를 통한 인증 비활성화

메일 서버를 사용 Postfix하거나 IMAP메일 서버에서 사용 하는 경우 일반적으로 3 개 이상의 포트가 열립니다

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

권한이있는 사용자가 465를 통해서만 이메일을 보낼 수 있도록 postfix를 구성하고 싶습니다. 기본적으로 그렇지 않습니다. 사용자는 포트 25를 통해 STARTTLS를 사용할 수도 있습니다. 비활성화하고 싶습니다.

내 계획은 대중에게 나에게 이메일을 보내기 위해 포트 25를 사용하는 것입니다.

사용자에게 포트 465를 사용하십시오 (방화벽을 사용하여 특정 IP 범위를 허용하거나 사용자 정의 포트를 사용할 수 있음)

이렇게하면 해커가 사용자 / 암호를 추측하려고하는 무차별 대입 공격에서 포트 25를 악용 할 수 없습니다. 포트 25는 유효하더라도 사용자 / 암호를 받아들이지 않습니다. 포트 465는 방화벽에 의해 제한되므로 해커는 465를 악용 할 수 없습니다.

Postfix에서 가능합니까?

Debian Wheezy에서 Postfix 2.9.6-2를 사용하고 있습니다

경고 :
기본 메일 릴레이 포트에서 TLS (암호화)를 비활성화하여 해당 포트를 통해 전송 된 데이터를 타사 리스너 및 / 또는 기내 수정에 노출 시키므로 요청이 최상의 보안 방법을 따르지 않습니다. 아래의 답변은 요청을 만족하지만 모범 사례는 포트 25 연결에도 STARTTLS가 필요합니다.

master.cf파일 (일반적으로 /etc/postfix/master.cf) 특정 후위 서비스의 시작과 구성을 제어합니다. 설명서에 따르면 해당 파일에서 이와 같은 구성을 사용하면 원하는 작업을 수행 할 수 있습니다.

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

이 구성은 포트 25에서 인증 및 STARTTLS 옵션을 끕니다. 포트 465에서 STARTTLS 옵션을 켜고 STARTTLS 사용이 필요하며 인증을 사용하며 인증 된 경우에만 클라이언트가 연결할 수 있습니다.

smtpd_tls_wrappermodeSTARTTLS 연결이 아닌 실제 TLS 연결을 강제 실행 하는 옵션을 살펴볼 수도 있습니다 .

이러한 종류의 구성은 Postfix 구성을 따르기가 다소 어려울 수 있습니다 (옵션을 설정 main.cf한 다음 재정의 할 수 있음 master.cf). 다른 옵션은 각각 main.cf이 옵션을 지정 하는 자체 구성 파일을 사용하여 여러 Postfix 인스턴스를 실행하는 것 입니다.