Рейтинг:0

Постфикс только с STARTTLS или TLS

флаг us

Я настроил свой Postfix так, чтобы он требовал STARTTLS или SSL/TLS, а также чтобы пользователь аутентифицировался при отправке на другие домены или получатель был известен моему хосту при получении почты.

Я могу подключиться без начального шифрования следующим образом:

telnet myserver.com 587
элхо там
письмо от: [email protected]

Сервер отвечает 530 5.7.0 Сначала необходимо выполнить команду STARTTLS

Я заметил, что smtp.gmail.com имеет такое же требование для использования TLS.

Я думаю, что это хорошо и то, что я хочу. Но сколько клиентов/серверов, которые попытаются отправить почту в мой домен, потерпят неудачу, потому что они не могут использовать SSL/TLS? Мой сертификат подписан letsencrypt, так что это не должно быть проблемой.

С другой стороны, можно ли предположить, что в 2022 году все отправители почты смогут использовать SSL/TLS?

Если нет, то что мне нужно изменить в моей конфигурации постфикса, чтобы позволить третьим сторонам доставлять почту на мой сервер без TLS (для почты в моих доменах), но по-прежнему требовать, чтобы мои пользователи, которые хотят отправлять почту через мой сервер, вошли в систему и использовали STARTTLS или SSL/TLS?

Второй вопрос: я заметил, что если я отправлю следующее, я получу ту же ошибку, но я только что отправил свой пароль на сервер в незашифрованном виде через Интернет, что означает, что я должен изменить свой пароль (обратите внимание, что соединение выполняется с помощью telnet, не опенссл!)

telnet myserver.com 587
привет там
AUTH PLAIN GFudEBtYaXhdhbnQuY2...дох!
Ginnungagap avatar
флаг gu
Публикация в качестве комментария, потому что я не опубликовал статистику, подтверждающую то, что я говорю: у меня есть требование использовать STARTTLS, когда моя почтовая программа отправляет почту другим почтовым программам, вы будете удивлены, как часто мне приходится отключать его для почты действительно доставить. Самое удивительное, что я получил, это претенциозная охранная компания, которая использует самоподписанный сертификат без DANE... Ваше предположение, что почтовики используют TLS в 2022 году, похоже на предположение, что люди будут использовать IPv6 в 2022 году, полное надежд, но удручающе ошибочное.
флаг us
хаха. да, это мой страх.
Рейтинг:2
флаг ru

С другой стороны, можно ли предположить, что в 2022 году все отправители почты смогут использовать SSL/TLS?

Нет это не так. Сегодня (3 марта 2022 г.) Google доставлял только 85% своей исходящей почты с использованием шифрования:

График с надписью "Шифрование исходящей электронной почты: 85 %"

Точно так же сегодня было зашифровано только 89% входящей электронной почты:

График с надписью "Шифрование входящей электронной почты: 89 %"

Если нет, то что мне нужно изменить в моей конфигурации постфикса, чтобы позволить третьим сторонам доставлять почту на мой сервер без TLS (для почты в моих доменах), но по-прежнему требовать, чтобы мои пользователи, которые хотят отправлять почту через мой сервер, вошли в систему и использовали STARTTLS или SSL/TLS?

# postconf smtpd_tls_security_level=may
# postconf smtpd_tls_auth_only=yes

Документы включены smtpd_tls_security_level, smtpd_tls_auth_only.

Если вы хотите также разрешить доставку исходящих писем без шифрования, вам следует прочитать о smtp_tls_security_level.

Обратите внимание, что вы можете закрепить список заведомо исправных доменов, чтобы всегда использовать шифрование с использованием smtp_tls_policy_maps, и вы можете рассмотреть возможность реализации МТА-СТС а также более масштабируемая альтернатива. Вот некоторое программное обеспечение, которое работает с Postfix, хотя сам не пользовался. Обратите внимание, что на странице Postfix немного говорится о DNSSEC и DANE, но DNSSEC нас не спасет, и Команда Chromium соглашается.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.