Вопрос или проблема
Существует ли способ отключить TLS для определенного домена, глобальная настройка для исходящего SMTP – зашифровать.
У нас есть ipsec-туннель к назначению, и на их стороне TLS не включен.
Настройки tls сервера Postfix:
smtp_tls_security_level = encrypt
Назначение настроено в файле Transport:
example.com smtp:[10.1.1.100]:25
Ответ или решение
Отключение TLS для конкретного исходящего домена в Postfix
Вам необходимо отключить TLS для определенного домена при использовании Postfix, в ситуации, когда глобальная настройка для исходящей SMTP почты установлена на encrypt. Ниже приведено пошаговое руководство, как это осуществить.
1. Понимание текущей конфигурации
Ваши настройки TLS следующие:
smtp_tls_security_level = encryptЭта конфигурация указывает на то, что все исходящие сообщения будут отправляться через TLS, что может вызвать проблемы, если конечный получатель TLS не поддерживает.
2. Настройка Transport Map
Вы уже указали использование Transport Map для вашего домена:
example.com smtp:[10.1.1.100]:25Это означает, что все сообщения, адресованные домену example.com, будут отправляться на IP-адрес 10.1.1.100 через порт 25. Для того чтобы отключить TLS для этого домена, вам нужно будет внести изменения в конфигурацию Postfix.
3. Изменение настроек Postfix
Для отключения TLS для конкретного домена, создайте отдельную транспортную карту и укажите уровень безопасности для данного домена:
-
Создайте или отредактируйте файл transport (если он еще не существует):
Этот файл может находиться в/etc/postfix/transportили другом месте. Добавьте туда следующую строку для вашего домена:example.com smtp:[10.1.1.100]:25 -
Настройка отправки без TLS:
Внесите изменения в файл конфигурацииmain.cf. Вы можете установить уровень безопасности для указанного домена, добавив следующее:smtp_tls_security_level = encrypt smtp_tls_security_level = none transport_maps = hash:/etc/postfix/transport -
Создайте или обновите файл
master.cfдля корректной обработки:
В файлеmaster.cfдобавьте следующую секцию для указания, как Postfix будет обрабатывать ваш домен:smtp inet n - y - - smtpd -o smtp_tls_security_level=none -
Сформируйте и перезапустите Postfix:
Обновите настройки Postfix и перезапустите сервис, чтобы изменения вступили в силу:postmap /etc/postfix/transport systemctl restart postfix
4. Проверка конфигурации
После внесения всех изменений, обязательно проверьте рабочее состояние вашей конфигурации. Вы можете использовать следующую команду для проверки логов:
tail -f /var/log/mail.logУбедитесь, что сообщения для указанного домена обрабатываются без TLS.
Заключение
Отказ от использования TLS для определенного домена в Postfix требует внесения изменений в настройки транспортной карты и настройки уровня безопасности. Используя приведенные выше шаги, вы сможете настроить свой Postfix таким образом, чтобы он отправлял почту без TLS для домена example.com, в то время как остальные домены сохранят глобальную настройку encrypt.
Эта настройка будет особенно полезна в вашей ситуации, учитывая, что у вас есть IPsec-туннель, который обеспечивает безопасное соединение, даже если конечный получатель не поддерживает TLS.