Múltiples nombres de dominio con sufijos
Postfix es elogiado por la alta legibilidad de sus archivos de configuración. El archivo de configuración principal de Postfix es /etc /etc/postfix/main.cf
En el archivo main.cf, los parámetros se configuran mediante un método de configuración de variables similar. El uso de estos parámetros incluye principalmente. dos partes:
(1) Definir y declarar variables: por ejemplo, definename = bueno-mejor-mejor. El lado izquierdo del signo igual es el nombre de la variable y el lado derecho del signo igual es el valor de la variable.
(2) Citar variables: puede agregar el símbolo "$" delante de la variable para citarla, como por ejemplo: minombre = $ definirnombre (equivalente a definirnombre = bueno-mejor-mejor).
Cabe señalar que debe haber caracteres de espacio a ambos lados del signo igual. Además, si una variable tiene más de dos valores de configuración, deben estar separados por una coma "," o el carácter de espacio "."
Después de familiarizarse con la definición y los métodos de referencia de las variables anteriores, a continuación se presentará en detalle cómo configurar las opciones relevantes del servidor Postfix de forma segura y eficiente.
1. Configure la interfaz de red que monitorea el servicio Postfix.
De forma predeterminada, el valor del parámetro inet_interfaces está establecido en localhost, lo que significa que las cartas solo se pueden enviar en el servidor de correo local. Si hay varias interfaces de red en el host de correo, pero no desea utilizar el servicio Postfix para abrir todas las interfaces de red, puede utilizar el nombre del host para especificar la interfaz de red que debe abrirse. Pero normalmente todas las interfaces de red se abren para recibir correos electrónicos desde cualquier interfaz de red, es decir, el valor del parámetro inet_interfaces se establece en "todos", como se muestra a continuación:
inet_interface=all
2. Establezca el nombre de host o el nombre de dominio que puede recibir correos electrónicos.
El parámetro mydestination es muy importante porque Postfix solo recibirá el correo electrónico si la dirección del destinatario del correo electrónico coincide con el valor de este parámetro. Al configurar esta opción, puede filtrar muchos correos electrónicos que no han sido autenticados y autorizados, ahorrando así espacio de almacenamiento en el servidor y tiempo de procesamiento de correo electrónico de los usuarios.
Como ejemplo simple, el usuario puede establecer el valor del parámetro de la siguiente manera:
aceptar _ dominio = test.net
mi destino = $aceptar_dominio
Esto significa que Postfix recibirá el correo independientemente de la dirección del destinatario en X@test.net (donde X representa el nombre de la cuenta de correo del usuario en el dominio test.net). Postfix no aceptará ningún correo que no sea este.
3. La configuración de seguridad puede reenviar redes de correo (configuración de IP)
En cuanto a la configuración de seguridad, puede utilizar el parámetro mynetworks para configurar redes que pueden reenviar correos. Puede establecer el valor de este parámetro en la dirección IP de un host confiable, o en una subred IP confiable o en varias subredes IP (separadas por "," o ","").
Por ejemplo, el usuario puede establecer el valor del parámetro de mynetworks en 172.168.96.0/24, lo que significa que el servidor de correo solo reenvía los correos enviados por los clientes en la subred 172.168.96.0/24 y se niega a reenviarlos. otras subredes de correo de Internet:
Mi red = 172.168.96.0/24
Además del parámetro mynetworks, también hay un parámetro que se utiliza para controlar el reenvío de correo de red, a saber, mynetworks-. estilo, que se utiliza principalmente para establecer el modo de la red de reenvío de correo. Generalmente hay tres formas:
(1) Clase: de esta manera, Postfix conocerá automáticamente el tipo de red IP del servidor de correo (es decir, Clase A, Clase B o Clase C) en función de la dirección IP. del servidor de correo, abriendo así su segmento de red IP.
(2) Subred: Este es el valor predeterminado del sufijo. Postfix sabrá el segmento de red IP que se abrirá en función de la dirección IP y la máscara de subred configuradas en la interfaz de red del host de correo.
(3) Host: De esta forma, postfix solo abrirá esta máquina.
En circunstancias normales, los usuarios generalmente no necesitan configurar los parámetros de estilo de mynetworks, sino que los configuran directamente. Si se configuran ambos parámetros, la configuración del parámetro mynetworks entra en vigor.
4. Configure la red que puede reenviar correo (configuración de nombre de dominio)
El parámetro mynetworks introducido anteriormente está configurado para la IP del origen del correo y el parámetro Relay_domains es el dominio. nombre o nombre de dominio de la fuente de correo. Se establece el nombre de host. De hecho, en principio son iguales, pero se distinguen la dirección IP y el nombre de dominio. Sin embargo, Relay_domains también depende de la infraestructura DNS.
Por ejemplo, el usuario puede establecer el valor del parámetro Relay_domains en test.net, lo que significa que cualquier correo enviado por el dominio test.net se considerará confiable y Postfix reenviará automáticamente estos correos como. se muestra a continuación:
Dominio de retransmisión = test.net
Luego, para reenviar mejor los correos electrónicos en la red real, se deben realizar las configuraciones DNS correspondientes. Luego, debe definir una zona principal test.net en el servidor DNS de la red y definir el siguiente registro en el archivo de configuración de la zona:
//Defina la dirección IP del servidor de correo.
patterson.test.net. INA172.168.96.254
//Definir el alias del servidor de correo.
correo.test.net. en CNAMEpatterson.test.net.
//Definir prioridad
mail.test.net MX 10.
Los registros anteriores sólo definen el servidor de correo, así como definiciones de SOA, ns, etc., que no se repetirán aquí.
Configurar Postfix para usar autenticación de seguridad SMTP
Postfix no abre la función de reenvío al mundo exterior de forma predeterminada, solo al host local. Pero en aplicaciones reales, algunos dominios o segmentos de red confiables deben abrirse configurando los parámetros mynetworks y Relay_domains en el archivo de configuración principal de Postfix; de lo contrario, el servidor de correo es casi inútil. Después de abrir estos dominios o segmentos de red confiables, también puede configurar la autenticación SMTP para verificar la identidad del usuario (nombre de cuenta de usuario y contraseña) del cliente que solicita el correo reenviado. Sólo después de pasar la verificación podremos recibir el correo electrónico enviado por el usuario y ayudar a reenviarlo. De manera similar, el mecanismo de autenticación SMTP comúnmente utilizado en Postfix también lo implementa el paquete Cyrus SASL.
De forma predeterminada, Postfix no habilita la autenticación SMTP. Para que Postfix habilite la autenticación SMTP, se debe modificar el archivo de configuración principal de Postfix /etc/postfix/main.cf.
Los usuarios deben agregar las siguientes configuraciones para la autenticación SMTP en el archivo main.cf:
smtpd_sasl_auth_enable =Sí
smtpd_sasl_local_domain = ' '
smtpd _ destinatario _ restricciones = permitir_mis redes
permit_sasl_authenticated, rechazar_unauth_destination
broken_sasl_auth_clients=yes
smtpd_client_restrictions=permit_sasl_authenticated
p>
smtpd_sasl_security_options = noanonymous
Entre ellos, el significado específico de cada opción es el siguiente:
(1)smtpd_SASL_authentication_enable: especifique si se debe habilitar SASL como método de autenticación SMTP. No está habilitado de forma predeterminada, debe habilitarse aquí, así que establezca el valor del parámetro en sí.
(2)smtpd_sasl_local_domain: si utiliza la versión Cyrus-SASL para la autenticación, no la configure aquí.
(3)smtpd_recipient_restrictions: se refiere al filtrado de correos electrónicos enviados por el cliente a través de la dirección del destinatario. Generalmente existen las siguientes restricciones:
Permit_mynetworks: Indica que siempre que la dirección del destinatario esté dentro del segmento de red especificado en el parámetro mynetworks, el correo electrónico se puede reenviar.
Permit_SASL_authenticated: Indica que se permite reenviar correos electrónicos certificados por SASL.
Reject_unauth_destination: Negarse a reenviar correos electrónicos con direcciones de destino no confiables.
(4)broken_sasl_auth_clients: Indica si es compatible con autenticación SMTP no estándar. Algunos clientes SMTP de Microsoft utilizan protocolos de autenticación SMTP no estándar. Esta incompatibilidad se puede resolver configurando este parámetro en sí.
(5)smtpd_client_restrictions: Indica que los clientes que pueden iniciar conexiones SMTP a Postfix están restringidos. Si desea evitar que clientes no autenticados inicien conexiones SMTP a Postfix, puede establecer el valor del parámetro en permit_sasl_authenticated.
(6)smtpd_sasl_security_options: se utiliza para restringir ciertos métodos de inicio de sesión. Si el valor del parámetro se establece en noanonymous, significa que el inicio de sesión anónimo está prohibido.
Después de completar la configuración anterior, debe usar
/etc/init.d/postfix reload
para recargar el archivo de configuración, o usar
/etc/init.d/postfix restart
Reinicie el servicio Postfix para que la configuración surta efecto. El uso específico de estos dos comandos debe seleccionarse según las diferentes versiones de Linux.
Además, cuando Postfix utiliza autenticación SMTP, leerá el contenido del archivo /usr/lib/sasl2/smtpd.conf para determinar el método de autenticación que se utilizará.
Por lo tanto, si desea utilizar el demonio saslauthd para la autenticación de contraseña, debe asegurarse de que el contenido del archivo /usr/lib/sasl2/smtpd.conf sea:
pwcheck_method: saslauthd