Frage Können Sie festlegen, dass Postfix TLS nur bei eingehenden E-Mails von bestimmten Domains oder IPs erzwingt?


Ich suche nach einer Postfix Konfigurationsoption wie smtpd_enforce_tls aber eines, mit dem ich TLS selektiv erzwingen kann, abhängig davon, aus welcher Domäne die E-Mail stammt. Ich muss eingehende E-Mails, die nicht von TLS stammen, von allen ausgewählten Ursprungsdomänen zulassen.

Ist das möglich? Ich weiß, dass es einfach ist, TLS beim E-Mail-Versand selektiv zu erzwingen aus von Postfix, aber ich spreche von E-Mails, die reinkommen.


7
2018-05-16 13:08


Ursprung




Antworten:


Ja, das kannst du - mit ein wenig Technik :)

Da Sie sagen, dass Sie TLS auf der Grundlage der Absenderdomäne erzwingen möchten, fügen Sie wie folgt eine Einschränkung für check_sender_access zu Ihren smtpd_sender_restrictions hinzu:

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/enforced_tls

und in /etc/postfix/enforced_tls:

@example.org   reject_plaintext_session
@example.net   reject_plaintext_session

Vergessen Sie nicht, die Datei zu postmappen, und laden Sie Postfix neu, wenn Sie fertig sind.


7
2018-05-19 12:34



Die Domain-Namen sollten nicht mit a beginnen @ wie von @Georgi abgefangen. - mmalone


/etc/postfix/enforced_tls muss in diesem Format sein:

example.org   reject_plaintext_session
example.net   reject_plaintext_session

beziehen auf http://www.postfix.org/access.5.html


4
2017-07-18 12:47





Ich würde sogar eine restriktivere Version vorschlagen, indem ich auch ein gültiges Zertifikat vom sendenden Server benötige:

/etc/postfix/main.cf:

...
smtpd_tls_ask_ccert = ja
smtpd_sender_restrictions = check_sender_access hash: / etc / postfix / enfoced_tls
...

/etc/postfix/enforced_tls:

example.org reject_plaintext_session, permit_tls_all_clientcerts, ablehnen
example.net reject_plaintext_session, permit_tls_all_clientcerts, ablehnen

Dies sollte auch die Sitzung ablehnen, wenn das Zertifikat des verbindenden Servers nicht über die CAs in validiert werden kann smtpd_tls_CAfile, die in diesem Fall die Standard-CAs des Systems sicher enthalten kann. Bitte korrigieren Sie mich, wenn ich mich hier täusche.


0
2018-05-25 21:30