Deaktivieren Sie SMTP AUTH an Port 25

Aufgrund von PCI-DSS müssen wir die Klartextauthentifizierung deaktivieren. Dies haben wir erreicht, indem wir die Kommunikation zwischen unserem Mailserver und Clients mit TLS an Port 465 gekapselt haben.

Das Problem liegt darin, dass Port 25 offen und unverschlüsselt bleiben muss, damit wir E-Mails aus dem Internet empfangen können, aber keine Authentifizierung zulassen sollten.

Ich habe versucht, den Befehl AUTH zu deaktivieren, aber dadurch wird auch die Authentifizierung an Port 465 unterbrochen.

Gibt es einen Mailserver oder Proxy, der eine separate Konfiguration für Port 25 und 465 ermöglicht, sodass die Authentifizierung nur über einen sicheren Kanal verfügbar ist?

Ebenfalls bemerkenswert: Wir verwenden MailEnable mit Stunnel im FIPS-Modus.

Aktualisieren:

MailEnable lieferte eine gepatchte ausführbare SMTP-Datei, mit der ich über die Windows-Registrierung konfigurieren konnte, ob an jedem Überwachungsport eine Autorisierung angeboten wird. Dies löste mein Problem - hoffentlich veröffentlichen sie den Patch als Hotfix.

Ja, Postfix ist dazu in der Lage.

Schauen Sie sich das Postfix HOWTO an:

http://postfix.state-of-mind.de/patrick.koetter/smtpauth/

und insbesondere:

http://postfix.state-of-mind.de/patrick.koetter/smtpauth/smtp_auth_mailclients.html

(Diese beiden Seiten sind von der ziemlich umfangreichen offiziellen Postfix-Dokumentenseite http://www.postfix.org/docs.html verlinkt. )

Für meinen Server master.cfsieht die Konfiguration in wie folgt aus:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Und main.cf hat eine Zeile wie:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

In diesem Fall ist die Authentifizierung nur für die Submission-Ports (587) und SMTPS-Ports (465) aktiviert.

Es scheint, dass die Postfix-Option smtpd_tls_auth_only = yes genau das ist, wonach Sie suchen. SMTP AUTH kann nur verwendet werden, wenn TLS aktiviert ist. Dies ist nur an Port 25 für Ihre Konfiguration relevant.

http://www.postfix.org/SASL_README.html#id396969
http://www.postfix.org/postconf.5.html#smtpd_tls_auth_only

Sie können auch Folgendes tun, um tls nur an bestimmten Ports mit exim4 anzukündigen.

tls_advertise_hosts = 192.168.40.5:${if eq {$interface_port}{587} {*}{}}

Daher werden nur Clients angeboten, die eine Verbindung von 192.168.40.5 herstellen, und Clients, die eine Verbindung über Port 587 herstellen. Solange Ihre Authentifizierungseinstellung so eingerichtet ist, dass vor der Ankündigung tls erforderlich sind, können nur Clients, die Port 587 mit TLS verwenden, auth verwenden.

Mit Exim können Sie Folgendes einstellen:

server_advertise_condition = ${if def:tls_cipher}

auf einem Authentifizierungstreiber, daher wird er nur in TLS angekündigt / verfügbar.

Exim wird sehr häufig als Frontend-Gateway zwischen MS Mail-Servern und dem offenen Internet verwendet. Durch die LDAP-Integration können Sie AD nach Adressüberprüfung, Authentifizierung usw. abfragen. anständige Integration in verschiedene Malware-Detektoren usw.