Настройте Postfix и Dovecot на прослушивание только незашифрованных портов на локальном хосте

Тот факт, что вы слушаете порты 143 и ] 587 не обязательно означает, что соединение не зашифровано. Обычно с этими портами используется гибкая TLS, например STARTTLS : соединение начинается как незашифрованное, но вскоре обновляется для шифрования. Единственная причина избегать STARTTLS - это смягчение атак типа «злоумышленник посередине» ( RFC 3207 ; STARTTLS менее безопасен, чем TLS ).

В этом случае целью было бы сделать этот STARTTLS обязательным, но также возможно отключение.

Postfix submission 587

В postfix / master.cf ,

• служба представления должна иметь (среди других параметров):

   submission inet n - - - - smtpd
    -o smtpd_tls_security_level = зашифровать
   

• Чтобы полностью отключить порт 587 (отвечая на ваш вопрос), закомментируйте раздел отправки .

• Чтобы представление было доступно только на localhost (дословный ответ):

   127.0.0.1:587 inet n - - - - smtpd
   

Dovecot IMAP 143

• В dovecot / conf.d / 10-auth.conf у вас есть этот параметр с документацией в комментариях:

   # Отключить команду LOGIN и все остальные  аутентификации открытым текстом, если
   # Используется SSL / TLS (возможность ОТКЛЮЧЕНИЯ ВХОДА).  Обратите внимание, что если удаленный IP
   # соответствует локальному IP (т.е. вы подключаетесь с одного компьютера),
   # соединение считается безопасным и разрешена аутентификация с использованием открытого текста.
   # См. Также ssl = required setting.
  disable_plaintext_auth = да
   

• Чтобы отключить прослушиватель IMAP, измените его порт на 0 в dovecot / conf.d / 10-master.conf:

   service imap-login {
    inet_listener imap {
    порт = 0
    }
    ...
   }
   

• Чтобы настроить Dovecot на прослушивание IMAP 143 только на localhost (буквальный ответ):

   service imap-login {
    inet_listener imap {
    адрес = 127.0.0.1
    }
   }