LINUX.ORG.RU
решено ФорумAdmin

postfix и отказ от 25 порта

 


1

1

Всем привет.

Подскажите как правильно мне отказаться от 25 порта, не хочется что бы пользаки использовали почтовик без шифрования.

main.cfg

smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem

smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem

smtpd_use_tls=yes

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtp_tls_note_starttls_offer = yes

smtpd_tls_loglevel = 1

smtpd_tls_received_header = yes

smtpd_tls_session_cache_timeout = 3600s

anvil_rate_time_unit = 300s

smtpd_client_message_rate_limit = 30

smtpd_soft_error_limit = 1

smtpd_error_sleep_time = 15

smtpd_hard_error_limit = 2

# SASL

anvil_rate_time_unit = 300s

smtpd_client_message_rate_limit = 30

smtpd_soft_error_limit = 1

smtpd_error_sleep_time = 15

smtpd_hard_error_limit = 2

smtpd_sasl_auth_enable = yes

smtpd_sasl_application_name = smtpd

smtpd_sasl_local_domain =

smtpd_sasl_security_options = noanonymous

smtpd_sasl_type = dovecot

smtpd_sasl_path = private/auth

broken_sasl_auth_clients = yes

smtpd_client_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_pipelining,permit

smtpd_helo_restrictions = permit

smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_sender,reject_unknown_sender_domain,reject_unverified_sender,permit

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_recipient,reject_unauth_destination,reject_unknown_recipient_domain,reject_unverified_recipient,permit

smtpd_data_restrictions = permit

smtpd_end_of_data_restrictions = permit

smtpd_etrn_restrictions = permit

dovecot

protocols = pop3 pop3s

disable_plaintext_auth = no

log_path = /var/log/dovecot

log_timestamp = «%Y-%m-%d %H:%M:%S »

#ssl_cert_file = /etc/postfix/ssl/smtpd.pem

#ssl_cert_file = /etc/ssl/certs/dovecot.pem

ssl_cert_file = /etc/postfix/ssl/smtpd.pem

ssl_key_file = /etc/postfix/ssl/smtpd.pem

mail_location = maildir:/var/spool/mail/vhosts/%d/%n

mail_privileged_group = virtual

#protocol imap {

#}

protocol pop3 {

pop3_uidl_format = %08Xu%08Xv

}

protocol managesieve {

}

auth_username_format = %Ln@%Ld

auth_debug = yes

auth default {

mechanisms = plain login

passdb passwd-file {

args = /etc/dovecot/passwd

}

userdb passwd-file {

args = /etc/dovecot/users

}

user = root

socket listen {

master {

path = /var/run/dovecot/auth-master

mode = 0600

user = virtual

}

client {

#path = /var/spool/postfix/private/dovecot-auth

path = /var/spool/postfix/private/auth

mode = 0660

user = postfix

group = postfix

} } } dict { } plugin { } мои действия.

в master.cfg указал

smtps inet n - - - - smtpd

25 порт закоментил. в iptables порт 465 открыт. В клиентской программе указал что используем ssl/tls 465 порт. но почему то письмо не отправляются. Время ожидания истекло. логи молчат mail.log

Aug 12 21:09:03 it postfix/smtpd[14396]: connect from unknown[83.19.11.37] Aug 12 21:10:43 it postfix/smtpd[14396]: lost connection after UNKNOWN from unknown[83.19.11.37] Aug 12 21:10:43 it postfix/smtpd[14396]: disconnect from unknown[83.19.11.37]

Подскажите как мне быть, что я делаю не так.



Последнее исправление: bagasik (всего исправлений: 5)

И смысл этой затеи? Дальше оно всё равно, вообще говоря, нешифрованным уйдёт. Или у вас почту отправляют по открытом wifi?

srg666
()

Достаточно сделать

smtpd_tls_security_level = encrypt
чтобы подключения на 25-й порт принудительно заворачивались в TLS. ТОлько не удивляйся, если часть почты с внешних серверов перестанет приходить.

25-й порт нельзя отключать вообще для серверов, отправляющих или принимающих почту в/из внешнего мира. Сейчас твои письма не отправляются, потому что удаленный сервер стучит на 25 порт с целью валидации отправителя, а порт-то закрыт. То же будет и с принудительным TLS (как указано выше), если удаленный сервер не будет поддерживать TLS. Лучше оставь 25-й порт в покое и настраивай отправку почты клиентами через порт MSA (587).

geladil
()
Ответ на: комментарий от geladil

А 'smtpd_tls_security_level' лучше выставлять в 'may', тогда tls будет включаться для тех, кто умеет, а остальные будут незашифрованные.

geladil
()
Ответ на: комментарий от geladil

Всем спасибо за советы, оставлю 25 порт открытым. Воспользуюсь вашим советом выставлю так. smtpd_tls_security_level' лучше выставлять в 'may'

bagasik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.