centos邮件服务器的端口设置方法

CentOS 邮件服务器端口设置方法

一 端口与用途速览

• 下表列出常见邮件协议与端口，便于一次性规划放通策略：

二 防火墙放通端口

• 使用 firewalld 放通端口（推荐）：
  • 放行 SMTP、Submission、POP3、IMAP（明文）：

    sudo firewall-cmd --permanent --add-port=25/tcp
    sudo firewall-cmd --permanent --add-port=587/tcp
    sudo firewall-cmd --permanent --add-port=110/tcp
    sudo firewall-cmd --permanent --add-port=143/tcp
    sudo firewall-cmd --reload
    

  • 放行加密端口（POP3S/IMAPS，可选）：

    sudo firewall-cmd --permanent --add-port=995/tcp
    sudo firewall-cmd --permanent --add-port=993/tcp
    sudo firewall-cmd --reload
    

  • 验证：

    sudo firewall-cmd --list-all
    sudo ss -tulpen | egrep ':(25|587|110|143|993|995)'
    

• 云厂商安全组同步放通：在控制台为实例的安全组放行上述端口（入站/出站按需）。

三 邮件服务组件端口启用

• Postfix（MTA，发信）
  • 基本配置 /etc/postfix/main.cf（示例）：

    myhostname = mail.example.com
    mydomain   = example.com
    myorigin   = $mydomain
    inet_interfaces = all
    inet_protocols = ipv4
    mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
    home_mailbox = Maildir/
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous
    smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
    # 启用 TLS（示例：使用自签或有效证书）
    smtpd_use_tls = yes
    smtpd_tls_cert_file = /etc/pki/tls/certs/ssl-cert-snakeoil.pem
    smtpd_tls_key_file  = /etc/pki/tls/private/ssl-cert-snakeoil.key
    

  • 重载：

    sudo postfix reload
    

• Dovecot（MDA/LDA，收信）
  • 启用协议与监听 /etc/dovecot/dovecot.conf：

    protocols = imap pop3
    listen = *
    

  • 认证与明文策略 /etc/dovecot/conf.d/10-auth.conf：

    disable_plaintext_auth = no
    auth_mechanisms = plain login
    

  • 邮箱位置 /etc/dovecot/conf.d/10-mail.conf：

    mail_location = maildir:~/Maildir
    

  • SSL 配置 /etc/dovecot/conf.d/10-ssl.conf（按需开启）：

    ssl = yes
    ssl_cert = </path/to/fullchain.pem
    ssl_key  = </path/to/privkey.pem
    

  • 启动：

    sudo systemctl restart dovecot
    sudo systemctl enable dovecot
    

• 说明：若仅提供加密收信，可将 Dovecot 的 ssl=yes 并仅放通 993/995；若需明文+STARTTLS，保持 disable_plaintext_auth=no 并放通 143/110。

四 端口连通性测试

• 本机/远程测试 SMTP（25/587）：

  telnet mail.example.com 25
  # 或
  openssl s_client -connect mail.example.com:587 -starttls smtp
  

• 测试 POP3/IMAP（110/143/993/995）：

  telnet mail.example.com 110
  telnet mail.example.com 143
  openssl s_client -connect mail.example.com:995 -crlf
  openssl s_client -connect mail.example.com:993 -crlf
  

• 成功连接后，可进一步按协议交互（如 SMTP 的 EHLO/MAIL FROM/RCPT TO/DATA）验证服务可用性。

五 安全与排错要点

• 安全建议
  • 对外发信优先使用 587/STARTTLS；如用 465/SSL 需确保证书有效（可用 Let’s Encrypt）。
  • 收信建议仅开放 993/995（IMAPS/POP3S），或同时启用 STARTTLS 并限制明文登录。
  • 限制可中继与可登录网段：在 Postfix 中合理配置 mynetworks 与 smtpd_recipient_restrictions，仅允许可信来源与已认证用户。
  • 云环境注意：部分运营商/云平台会限制或拦截 25/TCP 出站，影响外发投递；必要时申请解封或改用 Submission（587）。
• 常见排错
  • 端口未放行：firewall-cmd --list-all 与云安全组核对。
  • 服务未监听：ss -tulpen | grep 端口 检查进程与监听地址。
  • 证书问题：openssl s_client 连接查看证书链与握手是否成功。
  • 域名与路由：确认 A/MX 记录指向服务器，PTR 反向解析正常，避免被反垃圾策略拒收。