สนับสนุนอย่างกว้างขวางว่าถูกบังคับ TLS ในการเชื่อมต่อ SMTP ขาเข้า?

10

ฉันเรียกใช้ MTA ซึ่งประกอบด้วย Postfix มาตรฐาน, SpamAssassin, ClamAV, SPF / DKIM เช็คเป็นต้น MTA นี้ใช้สำหรับอีเมลขาเข้าเท่านั้นไม่โฮสต์บัญชีใด ๆ และส่งต่อจดหมายใด ๆ ที่ผ่านการตรวจสอบดังกล่าวไปยังเว็บโฮสต์ที่ใช้ร่วมกัน

ฉันทราบว่าบริการอีเมลไม่กี่แห่งกำลังเริ่มพยายามเชื่อมต่อ TLS ก่อนข้อความล้วนเมื่อพยายามส่งจดหมายไปยังเซิร์ฟเวอร์ของฉัน

ฉันรู้ว่าบริการทั้งหมดไม่สามารถรองรับ TLS ได้ แต่ฉันสงสัยว่ามันใช้งานได้ดีเพียงใดเพื่อให้ฉันสามารถตอบสนองด้านความปลอดภัยของ OCD ในสมองของฉันได้ (ใช่ฉันรู้ว่า SSL ไม่ปลอดภัยเท่าที่เราเคยคิดไว้ ... )

เอกสาร Postfixสำหรับsmtpd_tls_security_levelรัฐที่RFC 2487พระราชกฤษฎีกาว่าทุกสาธารณชนอ้างอิง (เช่น MX) mailservers ไม่บังคับ TLS:

ตาม RFC 2487 นี้จะต้องไม่ถูกนำมาใช้ในกรณีของเซิร์ฟเวอร์ SMTP อ้างอิงสาธารณะ ตัวเลือกนี้จึงปิดโดยปริยาย

ดังนั้น: เอกสารที่เกี่ยวข้อง / เกี่ยวข้อง (หรือ RFC อายุ 15 ปีสำหรับเรื่องนั้น ๆ ) มีความเกี่ยวข้องกันอย่างไรและฉันสามารถบังคับใช้ TLS ในการเชื่อมต่อ SMTP ขาเข้าทั้งหมดโดยไม่ต้องล็อก ISP ครึ่งหนึ่งของโลกหรือไม่

security  email  postfix  tls 
Craig Watson
แหล่งที่มา
1
มาตรฐานถูกสร้างขึ้นโดยคณะกรรมการที่สมาชิกอาจไม่เคยทำงานเป็นผู้ดูแลระบบแม้แต่ปีเดียวในชีวิตของพวกเขาและมันก็สามารถมองเห็นได้ในทุกมาตรฐานอินเทอร์เน็ตมาตรฐาน ในกรณีของ RFCs เป็นสถานการณ์ที่ดีขึ้นเล็กน้อย แต่ RFC ไม่ใช่มาตรฐาน มันคือร่าง (" r equest fหรือc omments") และ: คุณไม่ได้รับค่าแรงจากกระดาษ แต่จาก บริษัท
peterh - Reinstate Monica
7
นั่น RFC ถูกละทิ้งRFC 3207 และผู้เขียนนั้นใช้เวลานานกว่าผู้วิจารณ์คนหนึ่งที่นี่ดูเหมือนจะคิด
Michael Hampton
6
สำหรับอีเมลขาออกนี่คือสถิติบางส่วนจาก Facebook: สถานะปัจจุบันของ SMTP การปรับใช้ STARTTLS
masegaloeh
ไม่แน่ใจในเหตุผลของการลงคะแนนเดี่ยว ขอบคุณ Michel และ Peter สำหรับมุมมองของคุณชื่นชมมาก
Craig Watson

คำตอบ:

7

นี่เป็นคำถามที่ซับซ้อนมากเนื่องจากผู้ให้บริการจดหมายของโลกไม่ได้จัดเตรียมสถิติไว้ในเซิร์ฟเวอร์อีเมลของตน

การวินิจฉัยตนเอง

หากต้องการกำหนดคำตอบสำหรับคำถามของคุณตามเซิร์ฟเวอร์ / โดเมนของคุณเองคุณสามารถเปิดใช้งานการบันทึก SSL:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

สิ่งนี้จะถือว่าคุณบันทึกข้อความ syslog ของคุณเป็นระยะเวลาหนึ่ง ถ้าไม่เช่นนั้นอาจตั้งค่ากลยุทธ์การเก็บถาวร syslog และเขียนเชลล์สคริปต์เพื่อสรุปการใช้ TLS บนเซิร์ฟเวอร์ของคุณ อาจมีสคริปต์ให้ทำเช่นนี้อยู่แล้ว

เมื่อคุณรู้สึกสบายใจที่เพื่อนร่วมงานทุกคนของคุณสนับสนุน TLS และที่จุดเข้ารหัสและความแข็งแกร่งของโปรโตคอลที่คุณเต็มใจบังคับใช้คุณสามารถตัดสินใจได้อย่างชาญฉลาด ทุกสภาพแวดล้อมนั้นแตกต่างกัน ไม่มีคำตอบเดียวที่จะตอบสนองความต้องการของคุณ

ประสบการณ์ส่วนตัวของฉันเอง

เซิร์ฟเวอร์จดหมายส่วนตัวของฉันบังคับใช้ TLS สำหรับสิ่งที่คุ้มค่า นี่เป็นผลข้างเคียงที่ตลกขบขันจากการปฏิเสธบอทสแปมส่วนใหญ่เนื่องจากส่วนใหญ่ไม่สนับสนุน TLS (จนถึงการเปลี่ยนแปลงที่ฉันอาศัยวิธีการ regexp S25R)

ปรับปรุง

เป็นเวลาหนึ่งปีแล้วที่ฉันตอบคำถามนี้และปัญหาเดียวที่ฉันได้รับกับอีเมลที่ TLS บังคับคือจากเว็บเซิร์ฟเวอร์ส่วนหน้าของ Blizzard (การควบคุมโดยผู้ปกครอง) และระบบการจัดการของ Linode ทุกคนที่ฉันโต้ตอบด้วยดูเหมือนจะสนับสนุน TLS กับยันต์ที่แข็งแกร่งได้ดี

สภาพแวดล้อมขององค์กร

ในสภาพแวดล้อมขององค์กรฉันขอแนะนำให้คุณเปิดใช้งานการบันทึก TLS และปล่อยให้การรันนั้นใช้เวลาค่อนข้างนานก่อนที่จะบังคับใช้ TLS คุณสามารถบังคับใช้ TLS สำหรับชื่อโดเมนเฉพาะในไฟล์ tls_policy

postconf -d smtp_tls_policy_maps

ไซต์ postfix มีเอกสารที่ยอดเยี่ยมเกี่ยวกับการใช้แผนที่นโยบาย tls อย่างน้อยคุณสามารถมั่นใจได้ว่าโดเมนเฉพาะที่ให้ข้อมูลที่สำคัญถูกเข้ารหัสแม้ว่า ISP พยายามที่จะตัดการสนับสนุน TLS ในการเชื่อมต่อเซิร์ฟเวอร์เริ่มต้น

แอรอน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.