Bonjour,
J'ai un petit serveur sous Almalinux 8 avec Plesk.
Mon but est de limiter les connexions sans TLS histoire d'obliger les utilisateurs à configurer leur logiciel de messagerie avec une connexion sécurisée.
Je n'ai pas eu trop de problème avec Dovecot pour les connexions IMAP / POP.
Concernant Postfix :
Le port 465 ne fonctionne qu'avec TLS : OK
Le port 587 ne fonctionne qu'avec STARTTLS : OK
Le port 25 fonctionne sans couche de sécurité et avec STARTTLS
Je comprends que je ne peux pas fermer ni forcer le TLS sur le port 25 pour la communication avec les autres serveurs SMTP (relay), mais est-il possible d'empêcher l'utilisation du port 25 par un logiciel de messagerie (MUA), ou du moins obliger le STARTTLS.
Je n'arrive pas à comprendre de quelle manière on peut distinguer les communications depuis des MTA ou des MUA, si toutefois c'est possible…
Merci d'avance pour vos éclaircissements !
# Distinction
Posté par cg . Évalué à 2.
Tu peux distinguer comme ça :
Si le message arrive de dehors ET est pour ton domaine (cas du MX) : ok sans authen, et TLS optionnel.
Si le message arrive de dehors ET n'est pas pour ton domaine (cas d'un MUA): authen obligatoire et TLS obligatoire.
Si le message arrive de dedans (cas probable d'un MUA ou d'un programme genre Cron), à ta guise, avec ou sans authen…
Donc pour pouvoir faire des comportements différents, il faut commencer par identifier "dedans" et "dehors" au niveau de postfix, et enchaîner les conditions.
[^] # Re: Distinction
Posté par Roudger . Évalué à 1.
Merci cg pour les pistes.
Je ne connais pas Postfix et pensais qu'il y avait déjà un mécanisme intégré…
Je vais maintenant étudier comment mettre ces conditions en place !
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Distinction
Posté par Roudger . Évalué à 1.
Merci Bruno, je crois comprendre un peu mieux.
J'ai trouvé entre temps que "smtpd_tls_auth_only = yes" oblige les connexions des MUA via STARTTLS ou TLS mais ne change rien aux emails entrants, car pas d'authentification.
Pour ce que je voulais faire, ça peut être suffisant.
Mais par principe je préfère encore interdire le port 25 pour l'envoi d'emails depuis un MUA donc si je t'ai bien compris, en ajoutant "mynetworks = 127.0.0.0/8", j'ai exactement ce que je souhaitais…
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Distinction
Posté par cg . Évalué à 2.
Sans vouloir être pédant, je trouve ça curieux de dire qu'il n'y a pas de conditions à mettre en place, puis de lister ces conditions :).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.