Docker-Mailserver 中 IP 白名单限制的实现与注意事项

在邮件服务器安全配置中，IP 白名单限制是一项重要的安全措施。本文将详细介绍在 Docker-Mailserver 项目中实现 IP 白名单限制的技术细节和常见问题。

基本原理

Docker-Mailserver 默认使用 Postfix 作为邮件传输代理(MTA)，Dovecot 作为 IMAP/POP3 服务器。IP 白名单限制主要通过 Postfix 的 smtpd_client_restrictions 参数实现，该参数可以指定允许连接的客户端 IP 地址范围。

配置方法

要实现 IP 白名单限制，需要在 Postfix 主配置文件(master.cf)中添加以下内容：

submission/inet/smtpd_client_restrictions=cidr:/etc/postfix/trusted_clients,permit_sasl_authenticated,reject
submissions/inet/smtpd_client_restrictions=cidr:/etc/postfix/trusted_clients,permit_sasl_authenticated,reject

然后在 /etc/postfix/trusted_clients 文件中列出允许的 IP 地址，格式如下：

1.2.3.4 PERMIT
5.6.7.8 PERMIT
!9.10.11.12 REJECT

重要注意事项

1. 作用范围限制：这种配置仅对 Postfix 服务(如 SMTP 端口 25、提交端口 587 和加密提交端口 465)有效，不会影响 Dovecot 的 IMAP/POP3 服务。

2. 认证后绕过：配置中的 permit_sasl_authenticated 参数意味着一旦客户端成功通过 SASL 认证，IP 限制将被绕过。这是设计上的预期行为。

3. 多服务协调：如果需要全面限制所有邮件服务端口的访问，应考虑使用以下补充方案：

   • 使用 nftables/iptables 防火墙规则
   • 配置 Dovecot 的登录限制
   • 启用并配置 Fail2Ban 服务

4. 密码安全：即使实施了 IP 限制，仍应确保使用高熵值密码。建议使用密码短语而非简单密码，例如"详细蜗牛召唤苗条实验室外套"这样的组合。

高级配置方案

对于需要更严格控制的场景，可以考虑以下方案：

1. nftables 防火墙规则：

nft add table inet filter
nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input ip saddr 1.2.3.4 tcp dport 25 accept
nft add rule inet filter input tcp dport 25 drop

2. Fail2Ban 集成：配置 Fail2Ban 监控登录尝试，自动封禁多次失败的 IP 地址。

3. 反向代理方案：在前端部署反向代理，由代理层实施 IP 过滤，同时处理 PROXY 协议以确保真实 IP 传递。

常见问题排查

1. 配置不生效：检查配置文件是否已正确挂载到容器内，确认 Postfix 已重新加载配置(postfix reload)。

2. 部分服务未受限制：确认是否所有相关端口(25、465、587、993、995等)都进行了限制。

3. 日志分析：通过邮件日志确认连接来源 IP 和访问行为，验证限制规则是否按预期工作。

通过合理配置这些安全措施，可以显著提升邮件服务器的安全性，防止未授权访问和暴力攻击。