问题[starttls](server)

我已经搜索了每个论坛、每篇文章、每个 serverfault.com 帖子以查找此问题。我正在使用全新的 Postfix 设置。它由 Virtualmin 管理。每当我尝试通过 TLS 发送邮件时，都会收到错误消息（已删除可识别信息）：

Sep  7 21:58:37 mail postfix/smtp[220916]: initializing the client-side TLS engine
Sep  7 21:58:37 mail postfix/tlsmgr[220917]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Sep  7 21:58:38 mail postfix/tlsmgr[220917]: open smtp TLS cache btree:/var/lib/postfix/smtp_scache
Sep  7 21:58:38 mail postfix/tlsmgr[220917]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Sep  7 21:58:38 mail postfix/tlsmgr[220917]: tlsmgr_cache_run_event: start TLS smtp session cache cleanup
Sep  7 21:58:38 mail postfix/smtp[220918]: initializing the client-side TLS engine
Sep  7 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS is required, but was not offered by host gmail-smtp-in.l.google.com[173.194.219.27]
Sep  7 21:58:38 mail postfix/smtp[220916]: E9C5637920: to=<[email protected]>, relay=ts11-do.checktls.com[165.227.190.238]:25, delay=3768, delays=3768/0.67/0.11/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host ts11-do.checktls.com[165.227.190.238])
Sep  7 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS is required, but was not offered by host alt1.gmail-smtp-in.l.google.com[172.217.197.27]
Sep  7 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS is required, but was not offered by host alt2.gmail-smtp-in.l.google.com[108.177.12.27]
Sep  7 21:58:39 mail postfix/smtp[220918]: 536A837552: TLS is required, but was not offered by host alt3.gmail-smtp-in.l.google.com[64.233.186.27]
Sep  7 21:58:39 mail postfix/smtp[220918]: 536A837552: to=<[email protected]>, relay=alt4.gmail-smtp-in.l.google.com[209.85.202.27]:25, delay=3819, delays=3817/0.67/1.2/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host alt4.gmail-smtp-in.l.google.com[209.85.202.27])
Sep  7 22:00:01 mail postfix/pickup[220911]: A9D8537D1D: uid=33 from=<www-data>
Sep  7 22:00:01 mail postfix/cleanup[221006]: A9D8537D1D: message-id=<[email protected]>

我正在为我的证书使用letsencrypt（使用Virtualmin提取）。它将证书放在 /home/user/ssl。* 这是我的 main.cf（域替换为 example.com）：

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
allow_percent_hack = no
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
home_mailbox = Maildir/
inet_protocols = ipv4
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
mailbox_size_limit = 0
milter_default_action = accept
mydomain = EXAMPLE.com
myhostname = mail.EXAMPLE.com
mynetworks_style = subnet
non_smtpd_milters = inet:localhost:8891
recipient_delimiter = +
sender_bcc_maps = hash:/etc/postfix/bcc
sender_dependent_default_transport_maps = hash:/etc/postfix/dependent
smtp_dns_support_level = dnssec
smtp_host_lookup = dns
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_loglevel = 4
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_mandatory_protocols = TLSv1.3,TLSv1.2,TLSv1.1,!TLSv1,!SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = TLSv1.3, TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_security_level = encrypt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_milters = inet:localhost:8891
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination check_policy_service inet:127.0.0.1:10023
smtpd_relay_restrictions = ${{$compatibility_level} < {1} ? {} : {permit_mynetworks permit_sasl_authenticated defer_unauth_destination}}
smtpd_sasl_auth_enable = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_cert_file=/home/EXAMPLE/ssl.cert
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_key_file=/home/EXAMPLE/ssl.key
smtpd_tls_loglevel = 4
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
smtpd_tls_protocols = TLSv1.3, TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = encrypt
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_preempt_cipherlist = yes
tls_random_source = dev:/dev/urandom
tls_server_sni_maps = hash:/etc/postfix/sni_map
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = $mydomain

我知道 ENCRYPT 强制 TLS - 使用 MAY 回退到非 TLS 连接，这是为了测试

这是我的master.cf

smtp      inet  n       -       n       -       -       smtpd
pickup    unix  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
        -o syslog_name=postfix/$service_name
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
postlog   unix-dgram n  -       n       -       1       postlogd

*** 我将配置恢复为默认值，希望有所帮助，但没有改变。

当我远程登录到我的服务器时，我得到了 starttls 的选项：

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 mail.EXAMPLE.com ESMTP Postfix
EHLO example.com
250-mail.EXAMPLE.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 CHUNKING

我正在为我的防火墙使用 opnsense。我认为它不会通过 SMTP 检查阻止 TLS。

将设置设置为 MAY 而不是 ENCRYPT，我可以很好地发送和接收电子邮件。将其设置为 MAY，Google 和 checktls.com 报告说 TLS 没有被使用。

dmarc、spf 等的所有测试都恢复正常。这是在 Ubuntu 服务器 20 上运行的后缀（最新）。

我的环境：

• 数据中心中的托管服务器（对它们没有限制）
• Proxmox，截至 21 年 9 月 8 日是最新的
• 容器在 LXC、Ubuntu 20 中运行
• 容器位于 OPNSense 防火墙后面
• 基于 Web 的测试显示服务器提供 starttls
• 从服务器运行 telnet > 另一台服务器确实显示 starttls 作为选项

非常感谢任何帮助，谢谢。

我正在 Thunderbird 邮件客户端中配置 POP 和 IMAP 帐户。

这里有 2 个选项：

安全：

• 没有任何
• SSL/TLS
• 开始

身份验证方法：

• 普通密码
• 加密密码
• Kerberos / GSSAPI
• NTLM
• OAuth2

我有 2 个邮件帐户：一个是 POP，另一个是 IMAP 帐户。

我想确保没有人可以通过嗅探网络来监听我的密码和任何邮件内容。

我试过“SSL/TLS”和“STARTTLS”选项。他们都工作。但我的邮件服务器只支持“普通密码”选项。

你能确认我 SSL/TLS 和 STARTTLS 完全加密连接并且没有人可以嗅探任何东西（密码和内容）吗？

非常感谢

我有一个不支持 TLS 1.2 的旧软件。但是 SMTP 服务器只支持 TLS 1.2。

现在我想使用 stunnel 连接到 SMTP 服务器并监听 smtp 访问。我已经有此服务器的有效证书。在配置不同的 TLS 版本之前，我只想测试这个“stunnel 代理”是否正常工作。我使用 Thunderbird 连接到 :587 在 [TLS_proxy_connector] 和 [TLS_proxy_listener] 我有protocol = smtp. 我试图在一个或两个部分中将它们注释掉。但是我立即收到错误或某种超时，Thunderbird 无法发送电子邮件。

这是stunnel配置：

setuid = stunnel4
setgid = stunnel4

foreground = yes
;don't write pid
pid =


[TLS_proxy_connector]
client = yes
accept = 127.0.0.1:53681
protocol = smtp
connect = <mailserver>:587
verify = 2
CApath = /etc/ssl/certs/
checkHost = <mailserver>
;OCSPaia = yes

[TLS_proxy_listener]
accept = 587
protocol = smtp
key = /etc/ssl/private/key.pem
cert = /etc/ssl/certs/cert_.pem
CAfile = /etc/ssl/certs/chain_.pem
connect = 53681

我究竟做错了什么？还有其他更适合这里的工具吗？我知道我可以设置一个自己的邮件服务器，它接受 TLS 1.0 和 1.1 并用作智能主机，但这太过分了，因为我必须关心安全性。当前检查安全性，因为您只能使用有效凭据发送。谢谢你的帮助。

更新：当两个条目都有protocol = smtp. 当对 TLS 版本进行进一步测试时，我将添加更多信息。

我最近一直在开发一个通过 SMTP 服务器发送电子邮件的 C# 客户端。但是，我一直在了解不同的术语，例如：STARTTLS/TLS/SSL ......

经过进一步调查，我发现 SMTP 客户端以 2 种不同的方式（2 种加密方式）与服务器通信；显式 SSL/TLS 和隐式 SSL/TLS。

据我了解，显式 SSL/TLS 是 STARTTLS 的工作方式，它会在不安全的连接上询问服务器是否支持 TLS，如果支持，它会继续使用加密连接。然而，隐式 TLS 从连接开始到结束都是安全的，它永远不会不安全。

我可能对此有误，如果我错了，请纠正我。

问题是为什么端口 587（显式 SSL/TLS）是端口 465（隐式 SSL/TLS）的首选端口。

我知道端口 465 已被弃用，我可以看到端口 587 的用处，它可以在加密和未加密的情况下工作，并且由客户端来找出服务器支持的内容。

但是我很少看到有利于易用性的安全更新，这就是我感到困惑的原因。为什么我们从完全安全变为仅在某些方面安全？

我希望我的问题是有道理的。

我读过添加了 STARTTLS 命令并打算弃用 SSL 端口。但是即使像谷歌这样的主要邮件服务器仍然使用 SSL 端口，甚至不允许我们使用带有 STARTTLS 的经典端口。因此，情况似乎完全相反，旧的 imap 和 smtp（至少用于身份验证和发送电子邮件目的）端口已被弃用。是这样吗？

我在 Debian 上运行 Postfix 作为小型 LAN 的 MX，并试图让SMTPS通过端口 587 与 mobile.charter.net 一起工作。我按照谷歌的一些链接进行了设置，并在serverfault上发布了类似的帖子问题。我尝试发送几封电子邮件，但在邮件日志中收到有关“初始服务器问候”的错误：

 Nov 17 03:39:14 edgemx postfix/smtp[30355]: 9B39AA4: to=<[email protected]>, relay=mobile.charter.net[47.43.18.12]:587, delay=473, delays=173/0.03/300/0, dsn=4.4.2, status=deferred (conversation with mobile.charter.net[47.43.18.12] timed out while receiving the initial server greeting)

我在发送时在端口 587 上运行了tcpdump，但我没有看到 Postfix 和 Charter 之间发生证书传输。大概有三个 SYN 数据包，仅此而已。如果我在客户端模式下使用openssl进行连接，tcpdump流量会有很大不同，我可以看到发生证书传输。

openssl s_client -connect mobile.charter.net:587

有谁知道怎么回事？什么是 openssl 做 Postfix 不是？main.cf中的相关 SASL/SSL 编辑如下。

主文件

smtp_sasl_auth_enable         = yes
smtp_sasl_password_maps       = hash:/etc/postfix/relayhost_passwd
smtp_sasl_security_options    = noanonymous
smtp_use_tls                  = yes
smtp_tls_security_level       = encrypt
relayhost                     = [mobile.charter.net]:587
smtp_tls_mandatory_ciphers    = high

relayhost_passwd 文件（postmap'd 已经）

[mobile.charter.net]:587      [email protected]:sUp3rS3kr1t

编辑 1：我已将其范围缩小到 TLSv1，下面列出的两个服务器（还没有其他服务器失败）正在尝试使用。我将联系他们的网站管理员，要求他们停止使用不安全的协议，但与此同时，我仍然想弄清楚他们正在尝试使用什么密码并暂时启用它。我已经相应地调整了标题。

编辑 2：在标题中添加了 Postfix 版本

编辑3：我设法使用

smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/smtpd_discard_ehlo_keywords

与 /etc/postfix/smtpd_discard_ehlo_keywords （文件名不重要）包含：

<broken-server-ip> starttls

我仍然对这些服务器使用的 TLSv1 密码感到好奇，但现在我可以针对这些情况关闭每个主机的 TLS，我很满意。把这个留给其他需要它的人。

- - 原来的 - -

我开始运行 Debian Buster，为了纠正这个问题，我在解决这个问题时转移到了 sid。

我一直在解决无法从几台服务器（主要是 mxa3.ubusinessmotion.net 和 ny-smtp-dmz02.dmz.priceline.com）接收邮件的问题

以下是我的后缀日志中的相关行：

Mar  8 00:34:31 froxlor postfix/smtpd[67494]: setting up TLS connection from
mxa3.ubusinessmotion.net[208.27.251.227]
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: mxa3.ubusinessmotion.net[208.27.251.227]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH"
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept:before SSL initialization
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept:before SSL initialization
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL3 alert write:fatal:handshake failure
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept:error in error
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: SSL_accept error from mxa3.ubusinessmotion.net[208.27.251.227]: -1
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2257:
Mar  8 00:34:31 froxlor postfix/smtpd[67494]: lost connection after STARTTLS from mxa3.ubusinessmotion.net[208.27.251.227]

和

Mar  8 00:18:31 froxlor postfix/smtpd[37732]: connect from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: setting up TLS connection from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH"
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept:before SSL initialization
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept:before SSL initialization
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL3 alert write:fatal:protocol version
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept:error in error
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: SSL_accept error from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]: -1
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:../ssl/statem/statem_srvr.c:1660:
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: lost connection after STARTTLS from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6]
Mar  8 00:18:31 froxlor postfix/smtpd[37732]: disconnect from ny-smtp-dmz02.dmz.priceline.com[64.6.20.6] ehlo=1 starttls=0/1 commands=1/2

为了完整起见，这里有一个正确通过的：

Mar  8 00:45:01 froxlor postfix/smtpd[67806]: connect from a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: setting up TLS connection from a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH"
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:before SSL initialization
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:before SSL initialization
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read client hello
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write server hello
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write certificate
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write key exchange
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write server done
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write server done
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read client key exchange
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read change cipher spec
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS read finished
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write change cipher spec
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: SSL_accept:SSLv3/TLS write finished
Mar  8 00:45:01 froxlor postfix/smtpd[67806]: Anonymous TLS connection established from a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]: TLSv1.2 with cipher ECDHE-ECDSA-AES256-SHA384 (256/256 bits)
Mar  8 00:45:02 froxlor postfix/smtpd[67806]: A1B9E1C0096: client=a27-96.smtp-out.us-west-2.amazonses.com[54.240.27.96]
Mar  8 00:45:02 froxlor postfix/cleanup[67821]: A1B9E1C0096: message-id=<01010170b951a112-269a702a-ede4-4556-849b-e61b7f433063-000000@us-west-2.amazonses.com>
Mar  8 00:45:03 froxlor postfix/qmgr[67485]: A1B9E1C0096: from=<[email protected]>, size=81292, nrcpt=1 (queue active)
Mar  8 00:45:04 froxlor postfix/pipe[67823]: A1B9E1C0096: to=<[email protected]>, relay=dovecot, delay=2.6, delays=2.1/0.01/0/0.47, dsn=2.0.0, status=sent (delivered via dovecot service)

我从 /etc/postfix/main.cf 中的默认 TLS 设置开始，然后尝试设置 smtpd_tls_ciphers = export（和低、中、高）并启用/禁用 SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1 .3 以及 tls_ssl_options = NO_COMPRESSION 和一堆其他的启用和禁用选项，不幸的是我现在不记得确切。

我正在使用由使用 Froxlor 安装和配置的工具生成的 LetsEncrypt 证书，并且没有弄乱任何这些设置。

测试有点痛苦，因为它们只每半小时左右重试一次，但是（我认为）我已将其范围缩小到 SSLv3 或 TLSv1，因为如果我禁用这些，错误会从“无共享密码”变为“不支持”协议”。即使将 TLS 日志记录设置为 10，我也没有找到查看他们尝试使用的协议的方法。

我最近做的事情是使用 enable-weak-ssl-ciphers 从源代码构建 libssl1.1 认为默认情况下，这些发件人使用的密码可能不在默认包中。

我可能忽略了一些东西，但我的搜索都没有结果，而且我的头发也快用完了。如果有人能给我一个线索，我将不胜感激。如果我遗漏了任何信息，我很乐意提供。提前感谢大家抽出宝贵时间阅读本文！

我们有一个 openldap 服务器，不想允许未加密的通信，所以可以接受 tls over 389 ( starttls) 或 ssl over 636 ( ldaps)。

当我们使用 slapd.conf 进行配置时，olcSecurity这不是一个选项。

TLSCipherSuite似乎是使用 slapd.conf 的方法。但是，当使用该 slapd 时，要么不启动，要么忽略设置（即接受未加密的请求）。

使用时 slapd 无法启动（错误：TLS init def ctx failed:-1）：

- TLSCipherSuite ALL
- TLSCipherSuite Default
- TLSCipherSuite ALL:!NULL
- TLSCipherSuite ALL:!aNULL
- TLSCipherSuite AES256-SHA #one of the ciphers offered by openssl

slapd 启动但在使用时接受未加密的请求：

- TLSCipherSuite NORMAL
- TLSCipherSuite NORMAL:!NULL #would be acceptable
- TLSCipherSuite !NULL #would be acceptable

我们测试

ldapsearch -L -x -W -h [SERVER] -D [USER] - b [SEARCHBASE] uid=[USER] 

（未加密）

和

ldapsearch -L -x -W -ZZ -h [SERVER] -D [USER] - b [SEARCHBASE] uid=[USER]

（加密）

运行 openldap 的操作系统是 debian 8.7。openldap 版本似乎使用的是 gnutls，而不是 openssl，所以这可能是问题的原因。

但是最后三个TLSCipherSuite变体似乎是有效的语法，至少 slapd 开始时没有错误。为什么不!NULL阻止 slapd 接受未加密的请求？最后两个（使用任何可用的密码，但不允许没有密码）是可以接受的。

是否需要额外的设置/参数？

请注意，我们尝试了此处给出的建议（如上所述），但没有奏效。

我有一个带有postfix纯文本身份验证的服务器。

它接受 TLS 和非 TLS 身份验证。

如何强制服务器拒绝所有非 TLS 查询，以便邮件用户在登录时永远不会以明文形式发送用户名和密码？

说清楚，如果[email protected]是收件人和[email protected]本地发件人：

• 我希望这个命令能够工作（因为有--tls选项）：

  swaks --tls --to [email protected] --from -a [email protected] -auth CRAM-MD5 --auth-user [email protected]
  

• 并且该命令失败（因为--tls缺少）：

  swaks --to [email protected] --from -a [email protected] -auth CRAM-MD5 --auth-user [email protected]
  

我正在尝试将 ssmtp 配置为使用 namecheap smtp 服务器发送电子邮件。我目前的配置：

[email protected]
mailhub=mail.privateemail.com:465
rewriteDomain=email.com
hostname=email.com
[email protected]
AuthPass=password
FromLineOverride=YES
UseTLS=NO
UseSTARTTLS=YES

尝试使用cat - | sudo /usr/sbin/ssmtp -vvvv [email protected]系统日志中以下输出中的结果发送测试电子邮件：

Jun 17 13:55:08 hostname sSMTP[12161]: Creating SSL connection to host
Jun 17 13:55:18 hostname sSMTP[12161]: Invalid response SMTP Server (STARTTLS)
Jun 17 13:55:18 hostname sSMTP[12161]: Cannot open mail.privateemail.com:465

到目前为止，没有任何配置更改产生任何影响。我发现主要是 gmail 的解决方案，这似乎不适用于 Namecheap。Namecheap 文档没有提到需要应用的任何特殊设置。

我尝试用 gmail 设置它，它工作得完美无缺。我想这意味着我对 NameCheap SMTP 的设置是错误的？