Como você configura o postfix para testar somente e-mails não criptografados com uma lista de fixações de endereços IP / domínios?

1

Uma varredura PCI me disse para parar de usar o TLS 1.0 para e-mail. Estou usando o postfix, então desativei o TLS 1.0 e todo o tráfego para 1.0 parou. Então no dia seguinte eu olhei para os logs e eu vi muito disso ...

connect from 66-220-155-139.outmail.facebook.com[66.220.155.139]
SSL_accept error from 66-220-155-139.outmail.facebook.com[66.220.155.139]: -1
warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640:
lost connection after STARTTLS from 66-220-155-139.outmail.facebook.com[66.220.155.139]
disconnect from 66-220-155-139.outmail.facebook.com[66.220.155.139]

Entrei em contato com alguns dos administradores dos servidores. Vira o nosso nós estamos usando TLS oportunista, mas não temos um protocolo TLS comum, eles suportam 1.0 e eu suporto 1.2. Depois de um pouco de googleing, eu acho que o problema é uma falha em não voltar a criptografar depois de tentar negociar o TLS sem sucesso.

Então minha pergunta é. Como você configura o postfix para testar somente e-mails não criptografados com uma lista de fixações de endereços IP / domínios?

    
por Sam Sanders 20.08.2015 / 16:13

2 respostas

1

Bem, eu consegui trabalhar com um segundo servidor.

server1 {only TLS 1.2}  DNS of MX value 30
server2 {TLS 1.0, 1.1, 1.2} DNS of MX value 35

Internet -->  Firewall(allow list of DNS email servers to server2) 
    --TLS(1.0)-> server2 --(with TLS1.2)-> server1

Verifique os registros do server1 para obter uma lista de servidores que precisam de uma regra de firewall.

Espero que este método me permita controlar melhor o lixo eletrônico PCI no futuro.

=== EDIT ===

Após cerca de uma boca, posso dizer que tentar desabilitar o TLS 1.0 é difícil. Eu tenho escrito cerca de 4 a 5 exceções por dia. A maioria é para bancos e servidor de e-mail financeiro relacionado. Também yahoo.com e paypal.com não funcionarão com esta solução, eles só experimentam o primeiro MX nunca o segundo. Eu vou pedir uma exceção e olhar para executar meu filtro de spam na nuvem, então meu servidor de e-mail só precisou aceitar e-mails desse filtro de spam na nuvem.

    
por 21.08.2015 / 22:34
0

Para e-mails enviados, você pode configurar a tabela de políticas do TLS em /etc/postfix/main.cf . Verifique esta documentação oficial para mais detalhes e alguns exemplos.

Para o e-mail de entrada, use a combinação de smtpd_sender_restriction e reject_plaintext_session , conforme explicado em estes respondem .

    
por 20.08.2015 / 16:54