Docker-Mailserver 中 SMTP 认证与发件人保护机制解析

背景概述

Docker-Mailserver 是一个基于 Docker 的邮件服务器解决方案，它整合了 Postfix、Dovecot 等组件，提供了完整的邮件收发功能。在实际部署中，用户经常需要配置 SMTP 认证来允许邮件客户端发送邮件，同时还需要考虑发件人地址的保护机制。

SMTP 认证机制

Docker-Mailserver 默认已经通过 Dovecot 实现了 SASL 认证功能，不需要额外启用 ENABLE_SASLAUTHD 参数。系统默认在以下端口启用了认证机制：

• 587 端口（STARTTLS）
• 465 端口（TLS）

25 端口仅用于接收邮件或发送外发邮件，不用于邮件提交（submission），因此在这些端口上不会启用 SMTP 认证。

用户账户与别名

在 Docker-Mailserver 中，用户账户和别名有明确的区分：

1. 用户账户：通过 setup email add 命令创建，包含登录凭证和邮箱
2. 别名：仅用于邮件路由，不能用于登录认证

用户可以使用认证账户登录，然后从任何发件人地址发送邮件（除非启用了发件人保护）。

发件人保护机制

Docker-Mailserver 提供了 SPOOF_PROTECTION 参数来控制发件人地址的保护级别：

• 0：允许伪造发件人地址（不推荐）
• 1：限制发件人地址，用户只能使用自己的账户地址或别名地址发送

当启用 SPOOF_PROTECTION=1 时，系统会检查发件人地址是否与登录用户匹配。这个功能通过 Postfix 的 smtpd_sender_login_maps 参数实现，它会查询一个包含用户和其允许使用的发件人地址的映射表。

常见问题与解决方案

问题：无法使用别名地址发送邮件

当启用 SPOOF_PROTECTION=1 时，用户尝试使用别名地址作为发件人地址可能会收到类似错误：

553 5.7.1 <alias@example.com>: Sender address rejected: not owned by user user@example.com

这是因为系统默认只允许用户使用自己的登录地址发送邮件。

解决方案

1. 临时方案：禁用 SPOOF_PROTECTION（不推荐用于生产环境）

2. 自定义映射表：

   • 创建 postfix-main.cf 文件并添加：

     smtpd_sender_login_maps = unionmap:{ pcre:/etc/postfix/maps/sender_login_maps.pcre, texthash:/tmp/docker-mailserver/sender-login-map.cf }
     

   • 创建 sender-login-map.cf 文件，明确指定允许的地址映射：

     user@example.com alias@example.com,other@example.com
     

3. 等待功能改进：该功能在后续版本中有计划进行优化，使其更灵活易用。

最佳实践建议

1. 对于个人使用的邮件服务器，可以考虑禁用 SPOOF_PROTECTION，因为伪造发件人地址的风险较低
2. 在多用户环境中，建议启用保护机制，但需要仔细配置允许的地址映射
3. 始终使用加密连接（587/465端口）进行邮件提交
4. 定期检查邮件日志，监控异常发送行为

通过合理配置这些参数和机制，可以在保证邮件发送功能正常的同时，有效防止发件人地址的滥用和伪造。