Forum Linux.général Postfix : port 25 pour relay seulement

Posté par Roudger le 15 janvier 2023 à 14:51. Licence CC By‑SA.

Étiquettes : aucune

jan.

2023

Bonjour,

J'ai un petit serveur sous Almalinux 8 avec Plesk.

Mon but est de limiter les connexions sans TLS histoire d'obliger les utilisateurs à configurer leur logiciel de messagerie avec une connexion sécurisée.

Je n'ai pas eu trop de problème avec Dovecot pour les connexions IMAP / POP.

Concernant Postfix :
Le port 465 ne fonctionne qu'avec TLS : OK
Le port 587 ne fonctionne qu'avec STARTTLS : OK
Le port 25 fonctionne sans couche de sécurité et avec STARTTLS

Je comprends que je ne peux pas fermer ni forcer le TLS sur le port 25 pour la communication avec les autres serveurs SMTP (relay), mais est-il possible d'empêcher l'utilisation du port 25 par un logiciel de messagerie (MUA), ou du moins obliger le STARTTLS.
Je n'arrive pas à comprendre de quelle manière on peut distinguer les communications depuis des MTA ou des MUA, si toutefois c'est possible…

Merci d'avance pour vos éclaircissements !

# Distinction

Posté par cg le 15 janvier 2023 à 15:17. Évalué à 2.

Tu peux distinguer comme ça :

Si le message arrive de dehors ET est pour ton domaine (cas du MX) : ok sans authen, et TLS optionnel.
Si le message arrive de dehors ET n'est pas pour ton domaine (cas d'un MUA): authen obligatoire et TLS obligatoire.
Si le message arrive de dedans (cas probable d'un MUA ou d'un programme genre Cron), à ta guise, avec ou sans authen…

Donc pour pouvoir faire des comportements différents, il faut commencer par identifier "dedans" et "dehors" au niveau de postfix, et enchaîner les conditions.
- [^] # Re: Distinction
  
  Posté par Roudger le 16 janvier 2023 à 07:25. Évalué à 1.
  
  Merci cg pour les pistes.
  
  Je ne connais pas Postfix et pensais qu'il y avait déjà un mécanisme intégré…
  
  Je vais maintenant étudier comment mettre ces conditions en place !
  - [^] # Commentaire supprimé
    
    Posté par Anonyme le 16 janvier 2023 à 17:05. Évalué à 4.
    
    Ce commentaire a été supprimé par l’équipe de modération.
    - [^] # Re: Distinction
      
      Posté par Roudger le 17 janvier 2023 à 07:04. Évalué à 1.
      
      Merci Bruno, je crois comprendre un peu mieux.
      
      J'ai trouvé entre temps que "smtpd_tls_auth_only = yes" oblige les connexions des MUA via STARTTLS ou TLS mais ne change rien aux emails entrants, car pas d'authentification.
      Pour ce que je voulais faire, ça peut être suffisant.
      
      Mais par principe je préfère encore interdire le port 25 pour l'envoi d'emails depuis un MUA donc si je t'ai bien compris, en ajoutant "mynetworks = 127.0.0.0/8", j'ai exactement ce que je souhaitais…
      - [^] # Commentaire supprimé
        
        Posté par Anonyme le 17 janvier 2023 à 07:39. Évalué à 3.
        
        Ce commentaire a été supprimé par l’équipe de modération.
    - [^] # Re: Distinction
      
      Posté par cg le 17 janvier 2023 à 08:28. Évalué à 2.
      
      Sans vouloir être pédant, je trouve ça curieux de dire qu'il n'y a pas de conditions à mettre en place, puis de lister ces conditions :).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.