Aufgrund von PCI-DSS müssen wir die Klartextauthentifizierung deaktivieren. Dies haben wir erreicht, indem wir die Kommunikation zwischen unserem Mailserver und Clients mit TLS an Port 465 gekapselt haben.
Das Problem liegt darin, dass Port 25 offen und unverschlüsselt bleiben muss, damit wir E-Mails aus dem Internet empfangen können, aber keine Authentifizierung zulassen sollten.
Ich habe versucht, den Befehl AUTH zu deaktivieren, aber dadurch wird auch die Authentifizierung an Port 465 unterbrochen.
Gibt es einen Mailserver oder Proxy, der eine separate Konfiguration für Port 25 und 465 ermöglicht, sodass die Authentifizierung nur über einen sicheren Kanal verfügbar ist?
Ebenfalls bemerkenswert: Wir verwenden MailEnable mit Stunnel im FIPS-Modus.
Aktualisieren:
MailEnable lieferte eine gepatchte ausführbare SMTP-Datei, mit der ich über die Windows-Registrierung konfigurieren konnte, ob an jedem Überwachungsport eine Autorisierung angeboten wird. Dies löste mein Problem - hoffentlich veröffentlichen sie den Patch als Hotfix.
Antworten:
Ja, Postfix ist dazu in der Lage.
Schauen Sie sich das Postfix HOWTO an:
http://postfix.state-of-mind.de/patrick.koetter/smtpauth/
und insbesondere:
http://postfix.state-of-mind.de/patrick.koetter/smtpauth/smtp_auth_mailclients.html
(Diese beiden Seiten sind von der ziemlich umfangreichen offiziellen Postfix-Dokumentenseite http://www.postfix.org/docs.html verlinkt. )
Für meinen Server
master.cf
sieht die Konfiguration in wie folgt aus:Und main.cf hat eine Zeile wie:
In diesem Fall ist die Authentifizierung nur für die Submission-Ports (587) und SMTPS-Ports (465) aktiviert.
quelle
Es scheint, dass die Postfix-Option smtpd_tls_auth_only = yes genau das ist, wonach Sie suchen. SMTP AUTH kann nur verwendet werden, wenn TLS aktiviert ist. Dies ist nur an Port 25 für Ihre Konfiguration relevant.
http://www.postfix.org/SASL_README.html#id396969
http://www.postfix.org/postconf.5.html#smtpd_tls_auth_only
quelle
Sie können auch Folgendes tun, um tls nur an bestimmten Ports mit exim4 anzukündigen.
Daher werden nur Clients angeboten, die eine Verbindung von 192.168.40.5 herstellen, und Clients, die eine Verbindung über Port 587 herstellen. Solange Ihre Authentifizierungseinstellung so eingerichtet ist, dass vor der Ankündigung tls erforderlich sind, können nur Clients, die Port 587 mit TLS verwenden, auth verwenden.
quelle
Mit Exim können Sie Folgendes einstellen:
auf einem Authentifizierungstreiber, daher wird er nur in TLS angekündigt / verfügbar.
Exim wird sehr häufig als Frontend-Gateway zwischen MS Mail-Servern und dem offenen Internet verwendet. Durch die LDAP-Integration können Sie AD nach Adressüberprüfung, Authentifizierung usw. abfragen. anständige Integration in verschiedene Malware-Detektoren usw.
quelle