TLS Oportunista para mensagens recebidas com banner SMTP mascarado

2

Eu tenho um servidor de email com TLS oportunista habilitado (Postfix smtpd_tls_security_level = may), no entanto, o banner SMTP está sendo mascarado pela correção SMTP em nosso FWSM. Antes de desabilitar esse mascaramento, o banner SMTP é necessário para que outros servidores de email configurados para TLS oportunista negociem uma sessão TLS para emails de entrada? Eu li em algum lugar que o Postfix pode não usar o ESMTP se esse termo não estiver no banner.

O banner é mascarado por asteriscos: 220 *************************************

    
por Justin Gerace 13.06.2012 / 07:06

1 resposta

4

Acho que há duas perguntas diferentes sendo feitas aqui, então vou abordá-las separadamente.

Pergunta 1 : O Banner SMTP é necessário para exibir desmascarado para outros servidores de e-mail para usar o TLS?

Resposta: Não, o banner de saudação SMTP em si não determina a elegibilidade para o TLS. Então, se essa é a coisa SOMENTE que é mascarada, isso não deve causar um problema.

Pergunta 2 (parafraseado): O firewall está interferindo nas conexões TLS de entrada?

Resposta: O mais provável. Além de mascarar o banner de saudação, o serviço de inspeção fixup / esmtp nos Cisco Firewalls geralmente aceita apenas comandos específicos.

Não tenho certeza de qual versão / modelo de firewall você está usando, mas de acordo com este nota técnica :

ESMTP inspection operates in the same way that SMTP inspection does. Packets with illegal commands are modified to an "xxxx" pattern and forwarded to the server, which triggers a negative reply. An illegal ESMTP command is any command except for these commands:

AUTH
DATA
EHLO
ETRN
HELO
HELP
HELP
MAIL
NOOP
QUIT
RCPT
RSET
SAML
SEND
SOML
VRFY

Quando servidores externos se conectam e emitem o comando ehlo SMTP, eles verão uma lista de serviços / opções SMTP suportados. Supondo que eles vejam 250-STARTTLS , o servidor de envio emitirá um comando STARTTLS para iniciar a tentativa de usar o TLS. Você notará que este comando não está incluído na lista de comandos acima.

Então, em resumo, suspeito que o seu firewall está interferindo, mas não por causa da saudação do banner. Eu acho que está bloqueando / mascarando o comando STARTTLS do servidor de email remoto.

    
por 13.06.2012 / 07:41