Gelen SMTP bağlantılarında zorlanan TLS ne kadar yaygın olarak desteklenir?

10

Standart Postfix, SpamAssassin, ClamAV, SPF / DKIM çekleri vb.

Sunucuma posta teslim etmeye çalışırken, birkaç e-posta hizmetinin düz metinten önce TLS bağlantılarını denemeye başladığını biliyorum.

Tüm hizmetlerin TLS'yi desteklemeyeceğini anlıyorum, ancak beynimin OKB güvenlik tarafını tatmin edebilmem için ne kadar iyi benimsendiğini merak ediyorum (evet, SSL'nin bir zamanlar düşündüğümüz kadar güvenli olmadığını biliyorum) ...).

Postfix dokümantasyon için smtpd_tls_security_levelbu devletler RFC 2487 kararnameler tüm halka başvurulan (yani MX) Mailservers TLS zorlamayın o:

RFC 2487'ye göre, bu genel olarak başvurulan bir SMTP sunucusu için uygulanmamalıdır * ZORUNLU *. Bu nedenle bu seçenek varsayılan olarak kapalıdır.

Öyleyse: Dokümantasyon (veya bu konudaki 15 yaşındaki RFC) ne kadar uygulanabilir / alakalı ve dünyanın ISS'lerinin yarısını kilitlemeden tüm gelen SMTP bağlantılarında TLS'yi güvenli bir şekilde zorlayabilir miyim?

security  email  postfix  tls 
Craig Watson
kaynak
1
Standartlar, üyeleri muhtemelen hayatlarında bir yıl bile sysadmin olarak çalışmayan komiteler tarafından oluşturulur ve neredeyse tüm internet standart özelliklerinde oldukça görünürdür. RFC'lerde biraz daha iyi bir durum söz konusudur, ancak RFC'ler standart değildir. Bu taslak ( "olan r equest f veya c omments"). Ve: maaşınızı bir kağıttan değil bir şirketten alırsınız.
peterh - Monica'yı
7
Bu RFC, RFC 3207 tarafından kullanılmamıştır . Ve yazarı, burada bir yorumcunun düşündüğünden çok daha uzun süredir var.
Michael Hampton
6
İçin giden e-posta, burada Facebook'tan Bazı istatistikler: SMTP STARTTLS Dağıtım bugünkü hali
masegaloeh
Tek düşüşün nedeninden emin değilim. Michel ve Peter görüşleriniz için çok teşekkür ederiz.
Craig Watson

Yanıtlar:

7

Bu, dünyanın posta sağlayıcılarının posta sunucularında kolayca istatistik sağlamadığı göz önüne alındığında, çok karmaşık bir sorudur.

Kendi Kendine Teşhis

Sorunuzun yanıtını kendi sunucu / etki alanı eşlerinize göre belirlemek için SSL günlüğünü etkinleştirebilirsiniz:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Bu, posta sistem günlüğü iletilerinizi bir süreliğine kaydettiğinizi varsayar. Değilse, belki bir syslog arşivleme stratejisi oluşturun ve sunucunuzdaki TLS kullanımını özetlemek için bir kabuk komut dosyası yazın. Belki de bunu yapmak için zaten bir senaryo var.

Tüm akranlarınızın TLS'yi desteklediğinden ve zorlamak istediğiniz şifre ve protokol gücünde rahat olduğunuzda, bilinçli bir karar verebilirsiniz. Her ortam farklı. İhtiyaçlarınızı karşılayacak tek cevap yok.

Kendi kişisel deneyimim

Değeri ne olursa olsun, kendi kişisel posta sunucum TLS'yi zorlar. Çoğu TLS'yi desteklemediğinden, spam botlarının çoğunu reddetmenin komik bir yan etkisi vardır. (Bu değişime kadar S25R normal ifade metodolojisine güveniyordum)

Güncelleme

Bunu yanıtladığımdan beri bir yıl geçti ve TLS ile e-posta almak zorunda kaldığım tek sorun Blizzard (ebeveyn kontrolleri) ve Linode yönetim sistemindeki ön uç web sunucularından oldu. Etkileşimde bulunduğum herkes, TLS'yi güçlü şifrelerle destekliyor gibi görünüyor.

Kurumsal çevre

Kurumsal bir ortamda, TLS kaydını etkinleştirmenizi ve TLS'yi zorlamadan önce bunu uzun süre çalışmaya devam etmenizi şiddetle tavsiye ederim. Tls_policy dosyasında belirli etki alanı adları için TLS'yi her zaman uygulayabilirsiniz.

postconf -d smtp_tls_policy_maps

Postfix sitesi, tls ilke haritalarının kullanımı hakkında bazı harika belgelere sahiptir. En azından hassas bilgi sağlayan belirli alan adlarının, bir İSS ilk sunucu bağlantısında TLS desteğini çıkarmaya çalışsa bile şifrelenmesini sağlayabilirsiniz.

Aaron
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.