Gmail sinalizando email da Dovecot como inseguro

Navegue suas respostas
8

Eu achei que consegui proteger meu servidor de e-mail Postfix / Dovecot. Eu tenho um certificado assinado do LetsEncrypt, que é válido para o meu domínio.

Envio de & o recebimento funciona bem, mas como o Gmail começou a sinalizar e-mails inseguros, todos os e-mails enviados do meu servidor são sinalizados como não criptografados.

Os usuários do Gmail veem "Esta mensagem não foi criptografada", assim:

No main.cf do Postfix, entre outras configurações, tenho: 

# SASL, for SMTP authentication
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, for encryption
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

No master.cf do Postfix, entre outras configurações, tenho: 

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

No 10-ssl.conf do Dovecot, entre outras configurações, tenho: 

ssl = required
ssl_ca = </etc/letsencrypt/live/mydomain.com/chain.pem
ssl_cert = </etc/letsencrypt/live/mydomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mydomain.com/privkey.pem

O Gmail está falsamente sinalizando os certificados LetsEncrypt porque não confia neles ou o meu e-mail realmente está sendo enviado sem criptografia?

    
por gavanon 16.02.2016 / 23:40

3 respostas

9

Eu resolvi isso adicionando essas duas linhas ao main.cf do Postfix: 

smtp_tls_security_level = may
smtpd_tls_security_level = may

(Eu tinha definido apenas smtpd_tls_security_level devido a um artigo enganador que dizia que todos os valores smtp_ foram depreciados em favor de smtpd_ .)

    
por 27.02.2016 / 19:50
5

Seu e-mail é enviado sem criptografia. Se você quer apenas tentar o seu melhor, adicione o seguinte ao seu main.cf 

smtp_tls_security_level = may

Para impor a criptografia TLS para e-mails enviados ao google, adicione isso ao seu main.cf 

# Force TLS for outgoing server connection
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/

substitua / etc / postfix / rootcas / com a localização das suas CAs fidedignas e no arquivo / etc / postfix / tls_policy add 

#/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

isso reforçará o envio de e-mails para gmail.com., google.com e googlemail.com são enviados criptografados e autenticam o servidor SMTP

Se você não quiser autenticar e apenas criptografar (isso é necessário para sites com certificados falsos) use 

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

antes de reiniciar o postfix execute 

postmap /etc/postfix/tls_policy
    
por 26.02.2016 / 19:35
5

Considere o relacionamento cliente / servidor em relação ao SMTP e as configurações fazem sentido:

2.1. Estrutura Básica

O design do SMTP pode ser representado como: 

              +----------+                +----------+
  +------+    |          |                |          |
  | User |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commands/Replies| Server-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | File |<-->|          |    and Mail    |          |<-->| File |
  |System|    |          |                |          |    |System|
  +------+    +----------+                +----------+    +------+
               SMTP client                SMTP server

(Src: rfc5321.txt)

Assim:

"smtp_tls_security_level" é para o cliente SMTP do Postfix. Consulte: link

"smtp d _tls_security_level" é para o servidor SMTP Postfix Consulte: link

Quando o postfix está transferindo e-mail para o gmail, a configuração smtp_tls_security_level é a configuração associada.

Quando o postfix está recebendo e-mail sobre smtp, a configuração smtp d _tls_security_level é relevante.

    
por 22.06.2016 / 03:08

Tags

Instale o Python 2.5 no RedHat / Centos Pico de uso de memória de um processo