înregistrare Logare
Puncte:0
avatar Server

Postfix with only STARTTLS or TLS

drapel us
Ant Kutschera

I have set up my Postfix to require STARTTLS, or SSL/TLS, as well as the user being authenticated if sending to other domains, or the recipient being known to my host if receiving mail.

I can connect without initial encryption like this:

telnet myserver.com 587
elho there
mail from: [email protected]

The server responds with 530 5.7.0 Must issue a STARTTLS command first

I noticed that smtp.gmail.com has the same requirement to use TLS.

I think this is good and what I want. But how many clients/servers who will try to send mail to my domain will fail, because they can't do SSL/TLS? My certificate is signed by letsencrypt, so that shouldn't be a problem.

Asked another way, is it safe to assume that in 2022 all mail senders can do SSL/TLS?

If not, what do I have to change in my postfix configs to allow third parties to deliver mail to my server without TLS (for mails in my domains), but still require my users who want to send mail via my server to login and use STARTTLS or SSL/TLS?

A second question: I noticed that if I send the following, I get the same error, but have I just sent my password to the server effectively unencrypted across the internet, meaning I should change my password (note the connection is done with telnet, not openssl!)

telnet myserver.com 587
ehlo there
AUTH PLAIN GFudEBtYaXhdhbnQuY2...doh!
169
0 + 0
Ginnungagap avatar
drapel gu
Ginnungagap
Postează ca comentariu deoarece nu am publicat statistici care să susțină ceea ce spun: am o cerință privind utilizarea STARTTLS atunci când expeditorul meu trimite e-mail către alți expeditori, ai fi surprins cât de des trebuie să îl dezactivez pentru e-mail pentru a fi efectiv livrat. Cea mai surprinzătoare pe care am primit-o a fost o companie de securitate pretențioasă care folosește un certificat autosemnat fără DANE... Presupunerea dvs. că e-mailerii folosesc TLS în 2022 este ca și cum ați presupune că oamenii folosesc IPv6 în 2022, plin de speranță, dar deprimant de greșit.
3
Răspunde
drapel us
Ant Kutschera
haha. da, asta e frica mea.
0
Răspunde
Puncte:2
avatar Server
drapel ru
strugee

Întrebat în alt mod, este sigur să presupunem că în 2022 toți expeditorii de e-mail pot face SSL/TLS?

Nu Nu este. Astăzi (3 martie 2022) Google a livrat doar 85% din mesajele sale de ieșire folosind criptare:

Grafic etichetat „Criptare e-mail de ieșire: 85%”

De asemenea, astăzi doar 89% din e-mailurile primite au fost criptate:

Grafic etichetat „Criptare e-mail de intrare: 89%”

Dacă nu, ce trebuie să schimb în configurațiile mele postfix pentru a permite terților să livreze e-mailuri către serverul meu fără TLS (pentru e-mailurile din domeniile mele), dar totuși să solicite utilizatorilor mei care doresc să trimită e-mailuri prin serverul meu să se autentifice și să utilizeze STARTTLS sau SSL/TLS?

# postconf smtpd_tls_security_level=mai
# postconf smtpd_tls_auth_only=da

Documente activate smtpd_tls_security_level, smtpd_tls_auth_only.

Dacă doriți să permiteți și e-mailurile de ieșire să fie livrate fără criptare, ar trebui să citiți despre smtp_tls_security_level.

Rețineți că puteți fixa o listă de domenii cunoscute bune pentru a utiliza întotdeauna criptarea smtp_tls_policy_maps, și poate doriți să luați în considerare implementarea MTA-STS precum și o alternativă mai scalabilă. Iată câteva programe care funcționează cu Postfix, deși eu nu l-am folosit. Rețineți că pagina Postfix vorbește puțin despre DNSSEC și DANE, dar DNSSEC nu ne va salva, si Echipa Chromium este de acord.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.