在 postfix 中，如何强制 tls + auth 超过 587，同时保留 tls 可选为 25

Question

我想为某些域托管邮件服务。我已经成功地设置了 postfix 来为那些虚拟域查询 sql。我想做的是：

• 对于 25 上的连接：

  1. 拒绝中继（仅传送给我的虚拟域的收件人）
  2. 保留 tls 可选，但仅当客户端执行 tls 时才提供身份验证
  3. 只接受未列入黑名单的客户端（例如限制来自垃圾邮件的 XBL+SBL+PBL）或执行 tls 和 auth 的客户端（“朋友邮件服务器”，设置为使用 auth 和 tls 向我进行身份验证）

• 对于 587 上的连接：

  1. 强制执行 tls 和身份验证
  2. 允许中继。
  3. 仅接受未列入黑名单的客户端（与上述类似的黑名单但不进行 PBL 检查）

我的问题：

• A. 我知道上面的 postfix 选项，但我找不到如何根据侦听端口区分它们。

• B. 我是否会遇到使用上述政策的所谓合法客户的广为人知的问题？

我是邮件服务器设置的新手，对于任何无意义的问题/假设（请指出），我深表歉意。谢谢。

Answer 1

这很容易，

1. 在/etc/postfix/main.cf您将添加/更改

   smtpd_tls_security_level=may
   

   这样默认情况下 TLS 可用（但可选）。

2. 然后，/etc/postfix/master.cf您将submission通过覆盖参数为端口 587（端口）覆盖它：

   submission inet n       -       n       -       -       smtpd
     -o smtpd_tls_security_level=encrypt
   

   这要求所有提交（端口 587）连接都使用 TLS。

至于拒绝中继，这是默认的；只有经过身份验证的用户和您在mynetworks.

最后，您可以main.cf通过附加到smtpd_recipient_restrictions以下内容来添加黑名单：

    reject_rbl_client zen.spamhaus.org,

或任何你想要的黑名单。这些应该出现在列表的末尾附近，就在最后一个permit.

最后一件事。有关如何防止垃圾邮件的更多想法，请参阅打击垃圾邮件 - 作为电子邮件管理员、域所有者或用户，我可以做什么？