Quanto è ampiamente supportato TLS forzato su connessioni SMTP in entrata?

10

Gestisco un MTA costituito dai controlli Postfix standard, SpamAssassin, ClamAV, SPF / DKIM ecc. Questo MTA viene utilizzato solo per le e-mail in entrata, non ospita alcun account e inoltra la posta che passa tali assegni a un host web condiviso.

Sono consapevole che alcuni servizi di posta elettronica stanno iniziando a tentare connessioni TLS prima del testo normale quando si tenta di consegnare la posta al mio server.

Mi rendo conto che non tutti i servizi supporteranno TLS, ma mi chiedo quanto sia ben adottato in modo da poter soddisfare il lato di sicurezza OCD del mio cervello (sì, so che SSL non è sicuro come pensavamo una volta ...).

La documentazione di Postfix per smtpd_tls_security_levelafferma che RFC 2487 decreta che tutti i server di posta a riferimento pubblico (cioè MX) non impongono TLS:

Secondo RFC 2487, questo NON DEVE essere applicato nel caso di un server SMTP a riferimento pubblico. Questa opzione è quindi disattivata per impostazione predefinita.

Quindi: quanto è pertinente / pertinente la documentazione (o la RFC di 15 anni per quella materia), e posso forzare in sicurezza TLS su tutte le connessioni SMTP in entrata senza bloccare metà degli ISP del mondo?

security  email  postfix  tls 
Craig Watson
fonte
1
Gli standard sono creati da comitati i cui membri probabilmente non hanno mai lavorato come amministratore di sistema nemmeno per un solo anno nella loro vita, ed è abbastanza visibile praticamente in tutte le specifiche degli standard Internet. Nel caso degli RFC è una situazione leggermente migliore, ma gli RFC non sono standard. Sono bozze (" r equest f o c omments"). E: ottieni il tuo stipendio non da un giornale, ma da una società.
Peter - Ripristina Monica il
7
Quel RFC era obsoleto da RFC 3207 . E il suo autore è stato in giro molto più a lungo di quanto un commentatore qui sembra pensare.
Michael Hampton,
6
Per l' e-mail in uscita , ecco alcune statistiche di Facebook: lo stato attuale della distribuzione di STARTTLS SMTP
masegaloeh
Incerto sul motivo del singolo downvote. Grazie Michel e Peter per i tuoi punti di vista, molto apprezzati.
Craig Watson,

Risposte:

7

Questa è una domanda molto complicata dato che i fornitori di posta di tutto il mondo non forniscono prontamente statistiche sui loro server di posta.

Auto diagnosi

Per determinare la risposta alla domanda in base al proprio peer server / dominio, è possibile abilitare la registrazione SSL:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Ciò presuppone che si salvino i messaggi syslog di posta per un po '. In caso contrario, forse impostare una strategia di archiviazione syslog e scrivere uno script di shell per riepilogare l'utilizzo di TLS sul server. Forse ci sono già degli script per farlo.

Una volta che hai la certezza che tutti i tuoi colleghi supportino TLS e con la forza di cifratura e protocollo che sei disposto a far rispettare, puoi prendere una decisione informata. Ogni ambiente è diverso. Non esiste una risposta che soddisfi le tue esigenze.

La mia esperienza personale

Per quello che vale, il mio server di posta personale applica TLS. Ciò ha un divertente effetto collaterale nel negare la maggior parte dei robot spam, poiché la maggior parte di essi non supporta TLS. (Fino a quel cambiamento, mi affidavo alla metodologia regexp S25R)

Aggiornare

È passato un anno da quando ho risposto a questo e gli unici problemi che ho avuto a ricevere e-mail con TLS forzato sono stati dai server web front-end di Blizzard (controllo genitori) e il sistema di gestione di Linode. Tutti gli altri con cui interagisco sembrano supportare TLS con cifre forti.

Ambiente aziendale

In un ambiente aziendale, ti incoraggio vivamente ad abilitare la registrazione TLS e lasciarla in esecuzione per un periodo piuttosto lungo prima di applicare TLS. Puoi sempre applicare TLS per nomi di dominio specifici nel file tls_policy.

postconf -d smtp_tls_policy_maps

Il sito postfix ha un'ottima documentazione sull'uso delle mappe delle politiche tls. È possibile almeno garantire che i domini specifici che forniscono informazioni riservate vengano crittografati anche se un ISP tenta di eliminare il supporto TLS nella connessione iniziale del server.

Aaron
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.