Quão amplamente suportado é o TLS forçado nas conexões SMTP de entrada?

Navegue suas respostas
8

Eu executo um MTA que consiste nas verificações padrão Postfix, SpamAssassin, ClamAV, SPF / DKIM, etc. Esse MTA é usado somente para email de entrada, não hospeda nenhuma conta e encaminha qualquer email que passa essas verificações para um host compartilhado .

Estou ciente de que alguns serviços de e-mail estão começando a tentar conexões TLS antes do texto sem formatação ao tentar enviar mensagens para o meu servidor.

Eu percebo que nem todos os serviços suportarão o TLS, mas estou pensando em como isso é bem adotado para que eu possa satisfazer o lado de segurança do OCD do meu cérebro (sim, eu sei que o SSL não é tão seguro quanto uma vez pensei que era ...).

A documentação do Postfix para smtpd_tls_security_level indica que RFC 2487 decreta que todos os servidores de e-mail referenciados publicamente (isto é, MX) não forçam o TLS:

According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced SMTP server. This option is therefore off by default.

Então: Qual é a relevância / pertinência da documentação (ou da RFC de 15 anos), e posso forçar o TLS com segurança em todas as conexões SMTP de entrada sem bloquear metade dos ISPs do mundo?

    
por Craig Watson 19.12.2014 / 02:37

1 resposta

6

Esta é uma questão muito complicada, dado que os provedores de e-mail do mundo não fornecem prontamente estatísticas sobre seus servidores de e-mail.

Autodiagnóstico

Para determinar a resposta à sua pergunta com base em seus próprios pontos de servidor / domínio, você pode ativar o registro em log SSL: 

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Isso pressupõe que você salve suas mensagens de syslog de e-mail por um tempo. Caso contrário, talvez configure uma estratégia de arquivamento de syslog e grave um script de shell para resumir o uso de TLS em seu servidor. Talvez já existam scripts para fazer isso.

Quando estiver à vontade para que todos os seus colegas suportem o TLS e a força do protocolo e criptografia que você está disposto a impor, então você pode tomar uma decisão informada. Todo ambiente é diferente. Não há uma resposta que atenda às suas necessidades.

Minha experiência pessoal

Por que vale a pena, meu servidor de e-mail pessoal impõe o TLS. Isso tem um efeito colateral engraçado de negar a maioria dos bots de spam, já que a maioria deles não suporta TLS. (Até essa mudança, eu estava confiando na metodologia regexp S25R)

Atualizar

Já se passou um ano desde que eu respondi isso e os únicos problemas que tive ao receber e-mails com o TLS foram os servidores front-end da Blizzard (controles dos pais) e o sistema de gerenciamento da Linode. Todos os outros com quem eu interajo parecem apoiar muito bem o TLS com cifras strongs.

Ambiente corporativo

Em um ambiente corporativo, eu recomendo strongmente que você ative o log de TLS e deixe em execução por um bom tempo antes de aplicar o TLS. Você sempre pode impor TLS para nomes de domínio específicos no arquivo tls_policy. 

postconf -d smtp_tls_policy_maps

O site postfix possui uma ótima documentação sobre o uso de mapas de políticas do tls. Você pode pelo menos garantir que domínios específicos que fornecem informações confidenciais sejam criptografados mesmo que um ISP tente remover o suporte a TLS na conexão inicial do servidor.

    
por 01.01.2015 / 18:55

Tags

Não é possível conectar o Hyper-V Server 2012 R2 após a atualização do Windows 10? Como persistir opções de resolv.conf, como rotate, timeout no CentOS?