Postfix: Autoriser le courrier entrant non authentifié, mais seulement le courrier sortant authentifié?

Je suis nouveau dans le monde du server de messagerie et j'ai travaillé sur la mise en place de mon propre postfix sur Ubuntu 11.10. Jusqu'à présent, j'ai une authentification SASL travaillant sur TLS, donc c'est bien; Je m'inquiète maintenant de la security.

En bref: je souhaite que Postfix accepte tous les courriers entrants non authentifiés, mais n'autorise que le courrier sortant authentifié. Cela me permet également de me requestr si j'ai le support STARTTLS et TLS sur les ports 465 et 587, dois-je encore écouter le port 25? Les servers de messagerie tenteront-ils de transmettre le courrier au port 587 si 25 est fermé?

Mais revenons à l'input non authentifiée, mais uniquement authentifiée, j'ai essayé d'append

-o smtpd_sasl_auth_enable=yes -o smtpd_client_ressortingctions=permit_sasl_authenticated,reject 

à la ligne smtp dans mon master.cf , mais cela bloque le courrier entrant non authentifié. Existe-t-il un moyen de ne pas autoriser l'input sur le port 25 et de laisser les ports 465/587 uniquement pour la sortie?

Je ne suis pas sûr de ce qu'il ferait, mais je peux postr le rest de ma configuration si nécessaire. Toute aide est grandement appréciée puisque je suis nouvelle dans tout cela et c'est toujours source de confusion. Je vous remercie!

2 Solutions collect form web for “Postfix: Autoriser le courrier entrant non authentifié, mais seulement le courrier sortant authentifié?”

Comme vous l'avez compris, appliquer des options dans master.cf pour replace les options dans main.cf par port.

Pour atteindre votre objective, vous souhaitez placer la ressortingction comme smtpd_recipient_ressortingctions plutôt que smtpd_client_ressortingctions . La key est de reject_unauth_destination plutôt que de simplement reject :

 mydestination = aardvark.com, acme.com smtpd_recipient_ressortingctions = permit_sasl_authenticated,reject_unauth_destination 

Cela empêche un client non authentifié d'envoyer à n'importe quel domaine dont vous n'êtes pas responsable. Dans ce context, les domaines dont vous êtes responsable sont plus qu'une simple mydestination . Voir reject_unauth_destination dans le manuel.

J'ai cherché des heures pour résoudre ce problème et votre réponse est à propos de Couling.

Pour plus d'informations, cela fonctionne également lorsque vous utilisez Plesk / CentOS (ma situation). Surtout lorsque vous utilisez Plesk, la valeur permit_mynetworks est également ajoutée à la variable smtpd_recipient_ressortingctions par défaut, permettant à tous les domaines Plesk d'envoyer le courrier SMTP sans authentification.

Voir: http://forum.parallels.com/showthread.php?296391-Plesk-domains-can-submit-emails-through-unauthenticated-SMTP

Également ajouté à main.cf pour des raisons de security (pour toute personne intéressée;

 smtpd_client_connection_count_limit = 20 smtpd_sasl_authenticated_header = yes maximal_queue_lifetime = 1d 
  • La memory du server Redis a augmenté jusqu'à 22 Go et Crashed (OOM)
  • Comment puis-je réparer mon kernel 3.2 avec les correctifs du kernel d'apparmor?
  • Pourquoi mkfs écrase l'en-tête de encryption LUKS sur LVM sur les partitions RAID sur Ubuntu 12.04?
  • Comment configurer VirtualBox avec IP statique?
  • CUPS Négocier les problèmes d'authentification
  • Comment configurer rvmsudo en utilisant le chef?
  • Quelle est la différence entre ubuntu et debian (généralement) pour les servers?
  • Ubuntu 10.04 SSH ne répond plus
  • Tomcat 8 catalina.properties append variable
  • Ubuntu server apt-get dit "(-5 - Pas d'adresse associée à hostname)"
  • Corbeille de réseau - Ubuntu Linux
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.