Mailpit与Postfix SMTP中继的无TLS连接问题解析

问题背景

在使用Mailpit作为邮件处理工具时，许多开发者会遇到与Postfix SMTP服务器建立中继连接的问题。特别是在不使用TLS加密的情况下，Mailpit默认配置可能无法成功建立连接，即使设置了MP_SMTP_RELAY_ALLOW_INSECURE: true参数。

核心问题分析

Mailpit在与Postfix服务器建立SMTP中继连接时，默认会尝试使用TLS加密。当服务器不支持TLS或配置不当时，会出现以下典型错误：

1. error response to AUTH command: unencrypted connection - 表示服务器拒绝在不加密的连接上进行认证
2. error creating StartTLS config: 502 5.5.1 Error: command not implemented - 表示服务器不支持StartTLS命令

Postfix服务器配置要点

无TLS配置

对于希望完全不使用TLS的Postfix配置，需要注意以下关键参数：

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

然而，现代Postfix版本(特别是较新的安全策略)可能默认要求TLS用于认证连接，这是出于安全考虑。

允许无TLS认证的配置

如果确实需要允许无TLS的认证连接，可以在Postfix配置中添加：

smtpd_tls_security_level = none
smtpd_sasl_security_options = noanonymous

但请注意，这会降低通信安全性，不建议在生产环境使用。

Mailpit配置方案

根据Postfix服务器的不同配置，Mailpit需要相应调整：

方案1：Postfix启用TLS

当Postfix配置了TLS时，Mailpit应使用：

MP_SMTP_RELAY_STARTTLS: true
MP_SMTP_RELAY_ALLOW_INSECURE: true  # 仅当使用自签名证书时需要

方案2：Postfix禁用TLS

如果Postfix明确配置为允许无TLS认证：

MP_SMTP_RELAY_STARTTLS: false

深度技术解析

Mailpit底层使用Go的net/smtp库实现SMTP客户端功能。该库在以下情况下会拒绝连接：

1. 服务器要求TLS但未配置
2. 服务器证书无效且未明确允许不安全连接
3. 服务器不支持客户端请求的认证机制

Postfix的EHLO响应中AUTH PLAIN的出现并不一定表示允许无加密认证，服务器可能仍然要求TLS加密通道。

最佳实践建议

1. 生产环境：始终使用TLS加密，配置有效的证书
2. 开发环境：可以使用自签名证书，配合ALLOW_INSECURE参数
3. 测试连接：使用telnet或openssl s_client手动测试SMTP协议交互
4. 日志分析：检查Mailpit和Postfix双方的日志获取完整错误信息

总结

Mailpit与Postfix的SMTP中继连接问题通常源于安全策略的不匹配。理解SMTP协议的安全机制和双方配置的相互作用是解决问题的关键。在大多数现代环境中，启用TLS是最佳选择，即使是在内部网络中也是如此。对于必须使用无TLS连接的特殊情况，需要确保Postfix和Mailpit双方的配置都明确允许这种不安全的连接方式。