पोस्टफ़िक्स: पोर्ट 25 के माध्यम से प्रमाणीकरण को अक्षम करें

उपयोग करते समय Postfixऔर IMAPमेलस्वर पर, कम से कम 3 पोर्ट आमतौर पर खोले जाते हैं

25 smtp   : incoming emails from anybody (whole internet)
465 smtps : outgoing emails from authorized users (to the whole intenet)
993 imap  : imap for authorized users

मैं पोस्टफ़िक्स को कॉन्फ़िगर करना चाहूंगा, ताकि अधिकृत उपयोगकर्ता केवल 465 के माध्यम से ईमेल भेज सकें। डिफ़ॉल्ट रूप से ऐसा नहीं है। उपयोगकर्ता 25 से अधिक पोर्ट पर STARTTLS का उपयोग कर सकते हैं। मैं इसे अक्षम करना चाहूंगा।

मेरी योजना मुझे ईमेल भेजने वाली जनता के लिए पोर्ट 25 का उपयोग करने की है

अपने उपयोगकर्ताओं के लिए पोर्ट 465 का उपयोग करें (मैं विशिष्ट आईपी रेंज की अनुमति देने के लिए फ़ायरवॉल का उपयोग कर सकता हूं, या कस्टम पोर्ट का उपयोग कर सकता हूं)

यह पोर्ट 25 को तेज बल के हमलों से शोषण करने से रोकेगा, जहां हैकर्स उपयोगकर्ता / पासवर्ड का अनुमान लगाने की कोशिश करते हैं। पोर्ट 25 बस उपयोगकर्ता / पासवर्ड को स्वीकार नहीं करेगा, भले ही वह वैध हो। चूंकि पोर्ट 465 फ़ायरवॉल द्वारा प्रतिबंधित है, इसलिए हैकर्स 465 का शोषण नहीं कर सकते हैं।

क्या यह पोस्टफिक्स में संभव है?

मैं डेबियन व्हीजी पर पोस्टफिक्स 2.9.6-2 का उपयोग कर रहा हूं

— मार्टिन वेग्टर
स्रोत

मुझे पता है कि यह पुराना है, लेकिन आपको हमेशा पोर्ट 587 (सबमिशन) की अनुमति देनी चाहिए क्योंकि यह उचित पोर्ट है।

— lbutlr

चेतावनी:
अनुरोध सर्वश्रेष्ठ सुरक्षा अभ्यास का पालन नहीं करता है क्योंकि आप अपने मुख्य मेल रिले पोर्ट पर टीएलएस (एन्क्रिप्शन) को अक्षम करते हैं, उस पोर्ट के माध्यम से भेजे गए डेटा को तीसरे पक्ष के श्रोताओं और / या इन-फ़्लाइट संशोधन में उजागर करते हैं। नीचे दिया गया उत्तर अनुरोध को संतुष्ट करता है, लेकिन पोर्ट 25 कनेक्शन के लिए सर्वोत्तम अभ्यास के लिए भी STARTTLS की आवश्यकता होती है।

master.cfफ़ाइल (आमतौर पर /etc/postfix/master.cf) स्टार्टअप और विशिष्ट पोस्टफिक्स सेवाओं के विन्यास नियंत्रित करता है। उस फ़ाइल में इस तरह का एक कॉन्फ़िगरेशन, प्रलेखन के अनुसार, वह करेगा जो आप चाहते हैं:

smtp  inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=none
  -o smtpd_sasl_auth_enable=no

smtps inet  n  -  -  -  -  smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

यह कॉन्फ़िगरेशन प्रमाणीकरण बंद कर देता है और पोर्ट 25 पर STARTTLS विकल्प होता है। यह पोर्ट 465 पर STARTTLS विकल्प को चालू करता है, इसके लिए STARTTLS उपयोग की आवश्यकता होती है, प्रमाणीकरण सक्षम करता है, और केवल क्लाइंट्स को प्रमाणित करने की अनुमति देता है।

आप smtpd_tls_wrappermodeसही TLS कनेक्शन (और STARTTLS कनेक्शन नहीं) को बाध्य करने के विकल्प में भी देख सकते हैं ।

ध्यान दें कि इस तरह का कॉन्फ़िगरेशन पोस्टफिक्स कॉन्फ़िगरेशन को कुछ हद तक कठिन बना सकता है (विकल्पों को सेट किया जा सकता है main.cfऔर फिर ओवरराइड किया जा सकता है master.cf)। दूसरा विकल्प पोस्टफिक्स के कई उदाहरणों को चलाने के लिए है, प्रत्येक अपनी main.cfकॉन्फ़िगरेशन फ़ाइलों के साथ है जो इन विकल्पों को निर्दिष्ट करते हैं।

— hrunting
स्रोत

यदि परस्पर विरोधी विकल्प निर्धारित किए गए हैं main.cf, तो कौन से लोग वरीयता लेंगे? आप जो कहते हैं, उससे लगता है कि वह आगे master.cfनिकल जाएगा main.cf। क्या ये सही है?

— मार्टिन वेग्टर

-oविकल्प विन्यास फाइल को ओवरराइड। master.cfफ़ाइल प्रक्रियाओं के स्टार्टअप निर्देशांक, और यदि आप के साथ हाथ से प्रक्रियाओं आरंभ करने के लिए थे -oविकल्प, वे जो कुछ भी विन्यास फाइल निर्दिष्ट ओवरराइड करेगी।

— hrunting

-o smtpd_tls_security_level=noneटीएलएस को नहीं मारेंगे / सब कुछ सादे पाठ के मामले में करें जब कोई सर्वर ईमेल को रिले करने की कोशिश कर रहा हो या कोई अन्य सर्वर-टू-सर्वर एसएमटीपी कनेक्शन 25 को पोर्ट करे?

— TCB13

-o smtpd_tls_security_level=noneवास्तव में पोर्ट 25 पर काम करने से STARTTLS रोकने के लिए और इस प्रकार सादे-पाठ में सभी संचार कर देगा। यही प्रश्न पूछा गया है।

— 15

मैं अभी भी उपरोक्त कारण से इसे कम कर रहा हूं। ओपी के अनुरोध का अनुपालन करना ठीक है, लेकिन आपको एक पूंजी-पत्र चेतावनी जोड़ना चाहिए जो एक बहुत बुरा विचार है। (कृपया मुझे इसके बजाय आप को

— उकसाना चाहिए;