CentOS7系统下如何正确开启465端口用于邮件发送？

在 CentOS 系统上开启 465 端口，通常是为了配置邮件服务器的 SMTPS（Simple Mail Transfer Protocol Secure）功能，SMTPS 允许邮件客户端通过一个加密的 SSL/TLS 连接来发送邮件，从而保障邮件传输过程的安全性，465 端口是 IANA（互联网号码分配局）官方指定的用于 SMTPS 的端口。

仅仅在防火墙层面“开启”一个端口是不够的，要使其正常工作，需要确保有一个服务（如 Postfix 或 Exim）正在监听该端口，并且防火墙和安全策略都正确配置，本文将以 CentOS 7/8 系统和主流的 Postfix 邮件服务器为例，详细阐述开启并配置 465 端口的完整流程。

前置条件检查

在开始操作之前,请确保以下几点：

1. 拥有管理员权限：所有配置修改都需要 root 权限或 sudo 权限。
2. 已安装邮件服务器：本教程以 Postfix 为例，如果尚未安装，可以通过 yum install postfix 或 dnf install postfix 进行安装，您可以通过命令 systemctl status postfix 检查其运行状态。
3. SSL/TLS 证书：SMTPS 需要证书来建立加密连接，您可以使用自签名证书（用于测试）或从受信任的证书颁发机构（CA）购买的证书（用于生产环境）。

第一步：配置 Postfix 以监听 465 端口

默认情况下,Postfix 可能不会监听 465 端口，我们需要修改其主配置文件 master.cf 来启用 SMTPS 服务。

1. 编辑 master.cf 文件：
   使用文本编辑器（如 vi 或 nano）打开 /etc/postfix/master.cf 文件。

   sudo vi /etc/postfix/master.cf

2. 启用 smtps 服务：
   在文件中找到以下几行，默认情况下，它们可能被注释掉了（以 开头），您需要取消注释，使其看起来如下所示：

   # ==========================================================================
   # service type  private unpriv  chroot  wakeup  maxproc command + args
   #               (yes)   (yes)   (no)    (never) (100)
   # ==========================================================================
   smtps     inet  n       -       y       -       -       smtpd
     -o syslog_name=postfix/smtps
     -o smtpd_tls_wrappermode=yes
     -o smtpd_sasl_auth_enable=yes
     -o smtpd_reject_unlisted_recipient=no
     -o smtpd_client_restrictions=$mua_client_restrictions
     -o smtpd_helo_restrictions=$mua_helo_restrictions
     -o smtpd_sender_restrictions=$mua_sender_restrictions
     -o smtpd_recipient_restrictions=
     -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
     -o milter_macro_daemon_name=ORIGINATING

   关键配置项解释：

   • smtps inet n - y - - smtpd：这行定义了 smtps 服务，使其通过 inet（TCP）套接字监听，默认端口即为 465。
   • -o smtpd_tls_wrappermode=yes：这是开启 SMTPS 的核心指令，它告诉 Postfix 在此端口上立即启动 TLS 加密，而不是等待客户端的 STARTTLS 命令。

3. 保存并重启 Postfix：
   保存文件后，重启 Postfix 服务以应用更改。

   sudo systemctl restart postfix
   sudo systemctl enable postfix  # 确保开机自启

第二步：配置防火墙以放行 465 端口

CentOS 7 及以后版本默认使用 firewalld 作为防火墙管理工具，我们需要向 firewalld 添加规则，允许外部流量访问 465 端口。

1. 检查 firewalld 状态：
   确保防火墙正在运行。

   sudo systemctl status firewalld

2. 确定活动区域：
   firewalld 使用“区域”来管理不同网络接口的规则，公网接口会分配到 public 区域。

   sudo firewall-cmd --get-active-zones

   假设输出显示 public 是您的活动区域。

   

3. 添加端口规则：
   最佳实践是按服务名称添加规则，因为 firewalld 内置了常见服务的端口定义。smtps 就是一个预定义的服务，如果不存在，也可以直接添加端口号。

   使用服务名（推荐）

   sudo firewall-cmd --permanent --zone=public --add-service=smtps

   直接添加端口号

   sudo firewall-cmd --permanent --zone=public --add-port=465/tcp

   --permanent 参数表示规则是永久性的，重启后依然有效。

4. 重载防火墙：
   添加永久规则后，需要重载 firewalld 使其立即生效。

   sudo firewall-cmd --reload

5. 验证规则：
   检查 public 区域的规则列表，确认 smtps 或 465/tcp 已成功添加。

   sudo firewall-cmd --zone=public --list-all

为了方便查阅,以下是 firewalld 相关核心命令的小编总结：

功能	命令	说明
查看活动区域	firewall-cmd --get-active-zones	确定要配置的区域
查看区域所有规则	firewall-cmd --zone=public --list-all	检查当前配置
永久添加服务	firewall-cmd --permanent --zone=public --add-service=smtps	推荐方式，更规范
永久添加端口	firewall-cmd --permanent --zone=public --add-port=465/tcp	服务未预定义时的备选方案
重载配置	firewall-cmd --reload	使永久规则立即生效

第三步：SELinux 上下文检查

SELinux（Security-Enhanced Linux）是 CentOS 的一个核心安全模块，它可能会限制服务对特定端口的绑定，对于像 465 这样的标准 SMTPS 端口，Postfix 通常已经被 SELinux 策略允许监听，但如果遇到问题，可以进行如下检查。

1. 检查端口关联：
   使用 semanage 工具查看哪些端口被允许用于 smtp 服务。

   sudo semanage port -l | grep smtp

   输出可能包含 smtp_port_t tcp 465, 587, ...，这表示 465 端口已经在允许列表中。

2. 手动添加端口（非常规情况）：
   如果检查发现 465 端口未被关联，可以使用以下命令手动添加（通常不需要）。

   

   sudo semanage port -a -t smtp_port_t -p tcp 465

第四步：最终验证

完成所有配置后,最后一步是验证端口是否真的可以被外部访问。

1. 本地监听检查：
   确认 Postfix 进程正在监听 465 端口。

   sudo ss -tlnp | grep :465

   您应该能看到类似 LISTEN 0 100 *:465 *:* users:(("master",pid=... 的输出。

2. 远程连接测试：
   从另一台机器，使用 openssl 客户端尝试建立一个安全的连接，这是最有效的验证方法。

   openssl s_client -connect your_server_ip:465

   如果连接成功,您会看到证书信息，并最后出现 220 ESMTP 或类似的问候语，这表示 SMTPS 服务已成功启动并正在接受加密连接。

---

相关问答FAQs

Q1: 我已经按照所有步骤操作了，但仍然无法从外部连接到 465 端口，可能是什么原因？

A1: 这是一个常见的排查问题，如果本地监听正常但外部无法访问，请按以下顺序排查：

1. 云服务商安全组：如果您的 CentOS 服务器部署在云平台（如阿里云、腾讯云、AWS），请务必检查云平台控制台中的“安全组”规则，安全组是另一层虚拟防火墙，您必须在其中添加一条入站规则，允许 TCP 465 端口的流量，这是最常被忽略的一步。
2. 外部防火墙/网络设备：检查您的服务器前方是否还有其他硬件防火墙或路由器，它们也可能阻止了 465 端口。
3. 服务配置错误：再次仔细检查 /etc/postfix/master.cf 文件，确保 smtps 相关的行没有被遗漏或配置错误，同时检查 Postfix 的日志文件 /var/log/maillog，里面通常会记录连接失败或配置错误的详细信息。
4. IP 地址或域名问题：确保您在 openssl 命令中使用的是正确的公网 IP 地址，并且没有 DNS 解析问题。

Q2: 端口 465 和端口 587 都用于邮件提交，它们有什么区别？我应该使用哪个？

A2: 这两者确实都用于邮件客户端向邮件服务器提交邮件，但它们的加密方式和工作模式有本质区别：

• 端口 465 (SMTPS)：使用“隐式 TLS”，客户端连接到服务器后，整个会话立即被 SSL/TLS 加密包裹，没有任何明文通信的阶段，这是一种较老的模式，但因其简单直接，至今仍被广泛支持和使用。
• 端口 587 (Submission with STARTTLS)：使用“显式 TLS”，客户端连接到服务器时，初始连接是明文的，客户端需要发送 STARTTLS 命令来协商将连接升级为加密连接，如果服务器不支持或协商失败，连接可能会继续保持明文（尽管现代配置通常会强制要求加密）。

上文小编总结与建议：根据 RFC 的现代标准，端口 587 是更推荐的邮件提交端口，它设计得更加灵活，是当前邮件服务的事实标准，端口 465 依然在许多老旧的邮件客户端和系统中被使用，为了最大的兼容性，很多邮件服务器会同时开启并监听这两个端口，在配置时，开启 587 端口是首要选择，而开启 465 端口则作为一项重要的兼容性补充。