8.3. 将 Postfix 配置为使用 SASL
Postfix 支持基于简单身份验证和安全层 (SASL) 的 SMTP 身份验证 (AUTH)。SMTP AUTH 是简单邮件传输协议的扩展。目前,Postfix SMTP 服务器通过以下方法支持 SASL 实现:
- Dovecot SASL
- Postfix SMTP 服务器可以使用 UNIX-domain 套接字或 TCP 套接字与 Dovecot SASL 实施通信。如果 Postfix 和 Dovecot 应用程序在独立的计算机上运行,则使用此方法。
- Cyrus SASL
- 启用后,SMTP 客户端必须使用服务器和客户端支持并接受的身份验证方法与 SMTP 服务器进行身份验证。
先决条件
-
dovecot
软件包安装在系统中
流程
设置 Dovecot:
在
/etc/dovecot/conf.d/10-master.conf
文件中包括以下行:service auth { unix_listener /var/spool/postfix/private/auth { mode = 0660 user = postfix group = postfix } }
前面的示例使用 UNIX-domain 套接字进行 Postfix 和 Dovecot 之间的通信。该示例还假定默认 Postfix SMTP 服务器设置,其中包括位于
/var/spool/postfix/
目录中的邮件队列,以及在postfix
用户和组下运行的应用。可选:将 Dovecot 设置为通过 TCP 侦听 Postfix 验证请求:
service auth { inet_listener { port = port-number } }
通过编辑
/etc/dovecot/conf.d/10-auth.conf
文件中的auth_mechanisms
参数来指定电子邮件客户端用来通过 Dovecot 进行身份验证的方法:auth_mechanisms = plain login
auth_mechanisms
参数支持不同的纯文本和非纯文本身份验证方法。
通过修改
/etc/postfix/main.cf
文件来设置 Postfix:在 Postfix SMTP 服务器上启用 SMTP 身份验证:
smtpd_sasl_auth_enable = yes
为 SMTP 身份验证启用 Dovecot SASL 实现:
smtpd_sasl_type = dovecot
提供相对于 Postfix 队列目录的身份验证路径。请注意,使用相对路径可确保无论 Postfix 服务器是否在
chroot
中运行,配置都可以正常工作:smtpd_sasl_path = private/auth
此步骤使用 UNIX-domain 套接字进行 Postfix 和 Dovecot 之间的通信。
要将 Postfix 配置为在不同机器上查找 Dovecot,如果您使用 TCP 套接字进行通信,请使用类似如下的配置值:
smtpd_sasl_path = inet: ip-address : port-number
在上例中,将 ip-address 替换为 Dovecot 机器的 IP 地址,port-number 替换为 Dovecot 的
/etc/dovecot/conf.d/10-master.conf
文件中的端口号。指定 Postfix SMTP 服务器可供客户端使用的 SASL 机制。请注意,您可以为加密和未加密的会话指定不同的机制。
smtpd_sasl_security_options = noanonymous, noplaintext smtpd_sasl_tls_security_options = noanonymous
以上指令指定在未加密的会话期间,不允许匿名身份验证,且不会允许传输未加密的用户名或密码的机制。对于使用 TLS 的加密会话,只允许非匿名身份验证机制。