Как я могу настроить Postfix и Dovecot для привязки только к порт 587 и 143 для незашифрованной отправки и imap, соответственно, на локальном хосте, но привязка к порту 465 и 993 для зашифрованных соединений на всех интерфейсах? Мне нужно сделать это, поскольку Thunderbird по умолчанию использует незашифрованные порты, когда видит, что они открыты.
В настоящее время это выглядит так:
localhost
- 25 (smtp)
- 143 (imap)
- 465 (smtps)
- 587 (unencrypted smtp/submission)
- 993 (imaps)
eth0
- 25 (smtp)
- 143 (imap)
- 465 (smtps)
- 587 (unencrypted smtp/submission)
- 993 (imaps)
Мне нужно, чтобы это выглядело так:
localhost
- 25 (smtp)
- 143 (imap)
- 465 (smtps)
- 587 (unencrypted smtp/submission)
- 993 (imaps)
eth0
- 25 (smtp)
- 465 (smtps)
- 993 (imaps)
Тот факт, что вы слушаете порты 143
и ] 587
не обязательно означает, что соединение не зашифровано. Обычно с этими портами используется гибкая TLS, например STARTTLS
: соединение начинается как незашифрованное, но вскоре обновляется для шифрования. Единственная причина избегать STARTTLS
- это смягчение атак типа «злоумышленник посередине» ( RFC 3207 ; STARTTLS менее безопасен, чем TLS ).
В этом случае целью было бы сделать этот STARTTLS
обязательным, но также возможно отключение.
Postfix submission 587
В postfix / master.cf
,
служба представления должна иметь (среди других параметров):
submission inet n - - - - smtpd
-o smtpd_tls_security_level = зашифровать
Чтобы полностью отключить порт 587
(отвечая на ваш вопрос), закомментируйте раздел отправки
.
Чтобы представление было доступно только на localhost
(дословный ответ):
127.0.0.1:587 inet n - - - - smtpd
Dovecot IMAP 143
В dovecot / conf.d / 10-auth.conf
у вас есть этот параметр с документацией в комментариях:
# Отключить команду LOGIN и все остальные аутентификации открытым текстом, если
# Используется SSL / TLS (возможность ОТКЛЮЧЕНИЯ ВХОДА). Обратите внимание, что если удаленный IP
# соответствует локальному IP (т.е. вы подключаетесь с одного компьютера),
# соединение считается безопасным и разрешена аутентификация с использованием открытого текста.
# См. Также ssl = required setting.
disable_plaintext_auth = да
Чтобы отключить прослушиватель IMAP, измените его порт на 0
в dovecot / conf.d / 10-master.conf:
service imap-login {
inet_listener imap {
порт = 0
}
...
}
Чтобы настроить Dovecot на прослушивание IMAP 143
только на localhost
(буквальный ответ):
service imap-login {
inet_listener imap {
адрес = 127.0.0.1
}
}