Ich suche nach einer Postfix-Konfigurationsoption smtpd_enforce_tls, mit der ich TLS selektiv erzwingen kann, je nachdem, von welcher Domain die E-Mail eingeht. Ich muss eingehende Nicht-TLS-E-Mails von allen bis auf bestimmte ausgewählte Ursprungsdomänen zulassen.
Ist das möglich? Ich weiß, dass es einfach ist, TLS für E-Mails, die von Postfix ausgehen , selektiv durchzusetzen , aber ich spreche von eingehenden E-Mails.
Antworten:
Ja, das kannst du - mit ein wenig Technik :)
Da Sie angeben, dass Sie TLS basierend auf der Absenderdomäne erzwingen möchten, fügen Sie Ihren smtpd_sender_restrictions eine Einschränkung für check_sender_access hinzu:
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enforced_tls
und in /etc/postfix/enforced_tls:
@example.org reject_plaintext_session
@example.net reject_plaintext_session
Vergessen Sie nicht, die Datei nachzuordnen und Postfix neu zu laden, wenn Sie fertig sind.
/etc/postfix/enforced_tls muss in diesem Format sein:
example.org reject_plaintext_session
example.net reject_plaintext_session
Ich würde sogar eine restriktivere Version vorschlagen, indem ich auch ein gültiges Zertifikat vom sendenden Server wie folgt benötige:
/etc/postfix/main.cf::
... smtpd_tls_ask_ccert = yes smtpd_sender_restrictions = check_sender_access-Hash: / etc / postfix / enfoced_tls ...
/etc/postfix/enforced_tls::
example.org ablehnen_plaintext_session, allow_tls_all_clientcerts, ablehnen example.net ablehnen_plaintext_session, allow_tls_all_clientcerts, ablehnen
Dies sollte auch die Sitzung ablehnen, wenn das Zertifikat des Verbindungsservers nicht über die Zertifizierungsstellen in validiert werden kann smtpd_tls_CAfile, die in diesem Fall die Systemstandardzertifizierungsstellen sicher enthalten können. Bitte korrigieren Sie mich, wenn ich mich hier irre.
@von @Georgi gefangenen beginnen.