पोस्टफिक्स में, 25 के लिए वैकल्पिक टील्स को छोड़ते समय 587 से अधिक tls + को लागू करने का तरीका

मैं कुछ डोमेन के लिए मेल सेवाओं की मेजबानी करना चाहूंगा। मेरे पास उन वर्चुअल डोमेन के लिए sql से परामर्श करने के लिए सफलतापूर्वक पोस्टफ़िक्स सेटअप है। मैं क्या करना चाहूंगा:

25 पर कनेक्शन के लिए:
1. अस्वीकार करना (केवल मेरे वर्चुअल डोमेन प्राप्तकर्ताओं को वितरित करना)
2. Tls को वैकल्पिक छोड़ दें, लेकिन ग्राहक को tls करने पर ही ऑउटफिट दें
3. केवल गैर-ब्लैकलिस्ट किए गए क्लाइंट को स्वीकार करें (जैसे स्पैमबॉस से एक्सबीएल + एसबीएल + पीबीएल को प्रतिबंधित करें) या ऐसे क्लाइंट जो टील्स और ऑर्थोर ("मित्र मेल सर्वर" करते हैं जो मेरे साथ ऑर्टिकल और टीएसएल के साथ प्रमाणित करने के लिए सेटअप हैं)
587 पर कनेक्शन के लिए:
1. Tls और को लागू करें
2. परमिट रिले।
3. केवल गैर-ब्लैकलिस्ट किए गए ग्राहक स्वीकार करें (ऊपर की तरह ब्लैक लिस्ट करें लेकिन PBL चेकिंग छोड़ दें)

मेरे सवाल:

उ। मुझे उपर्युक्त के लिए उपसर्ग के विकल्पों का पता है, लेकिन मुझे पता है कि श्रवण पोर्ट के आधार पर उन्हें कैसे अलग किया जाए।
ख। क्या मैं उपरोक्त नीति के साथ कथित रूप से वैध ग्राहकों के साथ व्यापक रूप से ज्ञात समस्याओं में चलूंगा?

मैं मेल सर्वर सेटअप के लिए नया हूं, किसी भी व्यर्थ प्रश्न / आत्मसात के लिए क्षमा करें (कृपया इसे इंगित करें)। धन्यवाद।

postfix smtp tls

— Paralife
स्रोत

जवाबों:

यह आसान है,

में /etc/postfix/main.cfआप जोड़ / बदल देंगे
```
smtpd_tls_security_level=may
```
ताकि डिफ़ॉल्ट रूप से टीएलएस उपलब्ध हो (लेकिन वैकल्पिक)।
फिर, /etc/postfix/master.cfआप में यह submissionपैरामीटर को ओवरराइड करके पोर्ट 587 ( पोर्ट) के लिए ओवरराइड करेगा :
```
submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
```
इसके लिए सभी सबमिशन (पोर्ट 587) कनेक्शन के लिए टीएलएस की आवश्यकता होती है।

रिलेइंग से इनकार करने के लिए, यह डिफ़ॉल्ट है; केवल प्रमाणित उपयोगकर्ताओं के लिए रिले करने की अनुमति है, और आपके द्वारा निर्दिष्ट आईपी पते mynetworks।

अंत में आप इसमें main.cfसंलग्न करके ब्लैक लिस्ट में शामिल हो सकते हैं smtpd_recipient_restrictions:

    reject_rbl_client zen.spamhaus.org,

या आपकी इच्छा के अनुसार जो भी कालाकार हैं। ये अंतिम से ठीक पहले सूची के अंत के पास दिखाई देना चाहिए permit।

एक अंतिम बात। स्पैम को रोकने के तरीके के बारे में अधिक विचारों के लिए, लड़ स्पैम देखें - मैं क्या कर सकता हूं: ईमेल व्यवस्थापक, डोमेन स्वामी, या उपयोगकर्ता?

— माइकल हैम्पटन
स्रोत

धन्यवाद, केवल एक धुंधला बिंदु: पोर्ट 25 पर मैं बिना शर्त के अस्वीकार करने से इनकार करना चाहता हूं, चाहे ग्राहक प्रमाणित हो या न हो।

— पैरालिफ़

पोर्ट 25 पर प्रमाणीकरण डिफ़ॉल्ट रूप से अक्षम है। लेकिन यह सुनिश्चित करने के लिए, सुनिश्चित करें कि smtpd_sasl_auth_enableयह आपके में नहीं है main.cfऔर यह भी कि यह smtpआपके अनुभाग में मौजूद नहीं है master.cf(लेकिन यह अनुभाग yesमें सेट होना चाहिए submission)। master.cfकी तरह दिखना चाहिए इस ।

— माइकल हैम्पटन

सही है, लेकिन मैं 25 पर वैकल्पिक ऑर्टिकल + tls सक्षम करना चाहता हूं। मैं सिर्फ 25 पर रिले नहीं करना चाहता। अनिवार्य रूप से मैं इस बारे में उदार होना चाहता हूं कि कोई कैसे जोड़ता है लेकिन रिले करने पर बहुत सख्त है (सभी रिले से इनकार)। जब तक यह 587 पर नहीं आता है और क्लाइंट को tls के माध्यम से वर्गीकृत किया जाता है तब तक किसी भी रिलेइंग की अनुमति नहीं दी जानी चाहिए। किसी भी अन्य संयोजन को रिले अस्वीकार करना चाहिए। मैं शायद smtpd_relay_restrictions से शायद perm_sasl_authenticated को हटा दूं और इसे केवल Master87 में 587 के लिए ओवरराइड में डाल दूं। धन्यवाद।

— पैरालिफ़

लोगों को 25 पर भी जोर देने का प्रयास नहीं करना चाहिए। आप चाहें तो इसे सक्षम कर सकते हैं, लेकिन आपको वास्तव में नहीं करना चाहिए।

— माइकल हैम्पटन

मुझे B के प्रश्न का उत्तर नहीं पता है, लेकिन A:

उपसर्ग में आमतौर पर आपके पास एक ऐसी master.cfजगह होती है जहाँ आप हर एक चल रही प्रक्रिया को परिभाषित करते हैं, अक्सर इसमें /etc/postfix। उस फ़ाइल में आपके पास प्रति पोस्टफ़िक्स सेवा चलाने के लिए एक प्रविष्टि है, इसलिए पोर्ट 25और पोर्ट के लिए दो अलग-अलग हैं 587। उनमें से प्रत्येक के लिए आप smtpdअलग-अलग सेटिंग्स करने के लिए पैरामीटर भी पास कर सकते हैं।

मेरे मेलस्वर से एक उदाहरण

4.3.2.1:25      inet  n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
4.3.2.1:10027   inet  n       -       -       -       -       smtpd
  -o mynetworks=91.190.245.4/32 127.0.0.0/8
  -o smtpd_client_restrictions=permit_mynetworks,reject

— फिर से खेलना
स्रोत