SMTPS significa SMTP sobre TLS, como com HTTPS. Portanto, primeiro, uma conexão TLS é estabelecida (sem fallback) e, em seguida, o STMP é iniciado. Assim como ninguém espera HTTPS na porta HTTP 80, você não deve esperar que qualquer pessoa que se conecte ao seu serviço STMP envie solicitações TLS. Assim, todas as conexões com o servidor na porta 25 provavelmente falharão, se você aplicar o TLS!
O STARTTLS torna a criptografia opcional. Primeiro, uma conexão SMTP normal e não criptografada é estabelecida e, em seguida, o Servidor anuncia que pode atualizar para o STARTTLS (usando a chamada extensão STMP). Se o servidor também suportar STARTTLS (e estiver ativado para uso), o cliente solicitará a atualização para o TLS.
SMTPS (SMTP sobre TLS) é ativado no Postfix via smtpd_tls_wrappermode=yes
, você define isso para o serviço smtp, portanto, na porta 25. Como foi escrito acima, isso é não recomendado.
Eu quero citar partes do documento Bettercrypto sobre o endurecimento de criptografia aplicada nesta questão para master.cf
e main.cf
. Você também pode consultá-lo, pois você provavelmente tem algumas configurações em main.cf
que estão atrapalhando a configuração adequada do uso de TLS.
main.cf
:
# enable opportunistic TLS support in the SMTP server and client
smtpd_tls_security_level = may
smtp_tls_security_level = may
# if you have authentication enabled, only offer it after STARTTLS
smtpd_tls_auth_only = yes
master.cf
:
smtp inet n - - - - smtpd
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
Não definimos nada de novo para o TLS na porta 25, pois os padrões em main.cf
são tudo o que precisamos.