RES: [Postfix-BR] ENC: Auth SASL + TLS - Postfix - Relay Aberto.

Dan Pinheiro (Ymail) dan_pinheiro em ymail.com
Sábado Agosto 15 11:53:21 BRT 2009 

>Desabilite a autenticação da porta 25.
>
>smtp      inet  n       -       -       -       -       smtpd
>    -o smtpd_sasl_auth_enable=no
>
>-- 
>Reinaldo de Carvalho

Pessoal, consegui forçar a autenticação no Postfix com criptografia TLS,
precisei habilitar um parâmetro no "master.cf". A atual configuração faz com
que o client só consiga enviar mensagem se for autenticado. Abaixo segue a
configuração, caso alguém precise.
Agora o que reparei é que, o cliente autenticado consegue fazer relay. Já
fiz alguns testes com $relay_domains e não consegui bloquear.
Gostaria também de forçar a criptografia, de forma que só seja possível o
cliente conectar autenticando e com criptografia.
Any Idea?
[]´s


=====master.cf======
smtp      inet  n       -       n       -       -       smtpd
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject
====master.cf========


======== main.conf===========
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
home_mailbox = Maildir/
html_directory = no
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
mydestination = $myhostname, localhost.$mydomain, localhost, mydomain.com.br
mydomain = mydomain.com.br
myhostname = squid.mydomain.com.br
mynetworks = 127.0.0.0/8
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.5.6/README_FILES
relay_domains = $mydestination
sample_directory = /usr/share/doc/postfix-2.5.6/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,
reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 550
=======main.cf ====

Mais detalhes sobre a lista de discussão Postfix-BR