Maddy邮件服务器中SMTP over TLS(465端口)的配置问题解析

问题背景

在使用Maddy邮件服务器时，用户发现一个常见的配置问题：当使用Thunderbird客户端测试时，SMTP over TLS(465端口)无法正常工作，而STARTTLS(587端口)则运行正常。通过端口扫描工具检测，发现465端口处于关闭状态，这表明Maddy服务并未在该端口上正确监听。

技术分析

默认配置差异

Maddy邮件服务器的默认配置存在一个关键点：虽然它支持多种协议和加密方式，但不同端口的服务需要显式配置才能启用。从用户提供的Docker运行命令可以看出，初始配置中并未包含465端口的映射：

podman run --name maddy \
                 -e MADDY_HOSTNAME=mx.domain \
                 -e MADDY_DOMAIN=domain \
                 -v /etc/maddy/:/data \
                 -p 25:25 \
                 -p 143:143 \
                 -p 587:587 \
                 -p 993:993 \
                 foxcpp/maddy:latest

端口功能区别

1. 587端口(Submission): 这是标准的邮件提交端口，通常使用STARTTLS加密方式。Maddy默认配置中已经包含了对此端口的支持。

2. 465端口(SMTPS): 这是传统的SMTP over TLS端口，使用隐式TLS加密。需要在配置中明确启用才能正常工作。

解决方案

要使465端口正常工作，需要进行以下配置调整：

1. 容器端口映射：在运行容器时，必须添加465端口的映射：

-p 465:465

2. 配置文件检查：确保Maddy的配置文件中包含对465端口的监听配置。通常这需要在tls.listen部分添加相应的配置项。

3. 证书验证：确认TLS证书配置正确，因为465端口要求建立连接时立即进行TLS握手，不同于587端口的STARTTLS方式。

最佳实践建议

1. 完整端口映射：建议在生产环境中映射所有相关端口，包括：

   • 25 (SMTP)
   • 143 (IMAP)
   • 465 (SMTPS)
   • 587 (Submission)
   • 993 (IMAPS)

2. 配置验证：使用telnet或openssl客户端测试端口连通性：

   openssl s_client -connect your.server:465 -quiet
   

3. 日志检查：查看Maddy的日志输出，确认服务是否在465端口上成功启动监听。

总结

Maddy作为现代邮件服务器，支持多种协议和加密方式，但需要正确配置才能发挥全部功能。465端口与587端口虽然都提供加密的SMTP服务，但工作方式不同，需要分别配置。通过合理的端口映射和配置调整，可以确保Maddy服务器支持所有标准的邮件协议和加密方式。

对于系统管理员而言，理解这些端口的工作机制和配置要求，是确保邮件服务可靠性和安全性的重要基础。建议在部署前仔细阅读文档，并进行全面的功能测试。