Início / server / Perguntas / 653608
Accepted
Craig Watson
Asked: 2014-12-19 17:37:12 +0800 CST

Quão amplamente suportado é o TLS forçado em conexões SMTP de entrada?

  • 772

Eu executo um MTA que consiste nas verificações padrão Postfix, SpamAssassin, ClamAV, SPF/DKIM, etc.

Estou ciente de que alguns serviços de e-mail estão começando a tentar conexões TLS antes do texto sem formatação ao tentar entregar e-mail ao meu servidor.

Percebo que nem todos os serviços oferecem suporte ao TLS, mas estou me perguntando o quão bem adotado ele é para que eu possa satisfazer o lado de segurança do TOC do meu cérebro (sim, eu sei que o SSL não é tão seguro quanto pensávamos que era ... ).

A documentação do Postfixsmtpd_tls_security_level afirma que o RFC 2487 decreta que todos os servidores de correio referenciados publicamente (ou seja, MX) não forçam o TLS:

De acordo com o RFC 2487, isso NÃO DEVE ser aplicado no caso de um servidor SMTP referenciado publicamente. Esta opção, portanto, está desativada por padrão.

Portanto: quão aplicável/relevante é a documentação (ou o RFC de 15 anos), e posso forçar o TLS com segurança em todas as conexões SMTP de entrada sem bloquear metade dos ISPs do mundo?

security

1 respostas

  1. Best Answer

    Esta é uma questão muito complicada, visto que os provedores de correio do mundo não fornecem prontamente estatísticas sobre seus servidores de correio.

    Auto diagnóstico

    Para determinar a resposta à sua pergunta com base em seus próprios pares de servidor/domínio, você pode habilitar o log SSL:

    postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

    Isso pressupõe que você salve suas mensagens de syslog de e-mail por um tempo. Caso contrário, talvez configure uma estratégia de arquivamento de syslog e escreva um script de shell para resumir o uso de TLS em seu servidor. Talvez já existam scripts para fazer isso.

    Uma vez que você esteja confortável com o fato de que todos os seus pares suportam TLS e com a cifra e a força do protocolo que deseja impor, você poderá tomar uma decisão informada. Cada ambiente é diferente. Não há uma resposta que atenda às suas necessidades.

    Minha própria experiência pessoal

    Pelo que vale a pena, meu próprio servidor de e-mail pessoal aplica o TLS. Isso tem um efeito colateral engraçado de negar a maioria dos bots de spam, já que a maioria deles não suporta TLS. (Até essa mudança, eu contava com a metodologia S25R regexp)

    Atualizar

    Já se passou um ano desde que respondi a isso e os únicos problemas que tive ao receber e-mails com TLS forçado foram dos servidores front-end da Blizzard (controle dos pais) e do sistema de gerenciamento da Linode. Todos os outros com quem interajo parecem suportar TLS com cifras fortes muito bem.

    Ambiente Corporativo

    Em um ambiente corporativo, recomendo fortemente que você habilite o registro TLS e deixe-o em execução por um bom tempo antes de aplicar o TLS. Você sempre pode impor o TLS para nomes de domínio específicos no arquivo tls_policy.

    postconf -d smtp_tls_policy_maps

    O site postfix tem uma ótima documentação sobre o uso de mapas de política tls. Você pode pelo menos garantir que domínios específicos que fornecem informações confidenciais sejam criptografados, mesmo que um ISP tente retirar o suporte TLS na conexão inicial do servidor.

    • 8

relate perguntas