Seberapa didukung TLS paksa pada koneksi SMTP masuk?

10

Saya menjalankan MTA yang terdiri dari Postfix standar, SpamAssassin, ClamAV, cek SPF / DKIM dll. MTA ini digunakan untuk email masuk saja, tidak meng-host akun apa pun dan meneruskan surat apa pun yang melewati kata cek ke hosting bersama.

Saya sadar bahwa beberapa layanan email mulai mencoba koneksi TLS sebelum teks biasa ketika mencoba mengirimkan email ke server saya.

Saya menyadari bahwa tidak semua layanan akan mendukung TLS, tapi saya bertanya-tanya seberapa baik penerapannya sehingga saya dapat memenuhi sisi keamanan OCD di otak saya (ya, saya tahu SSL tidak seaman yang dulu kami pikir sebelumnya adalah ...).

The Postfix dokumentasi untuk smtpd_tls_security_levelnegara-negara yang RFC 2487 dekrit bahwa semua publik direferensikan (yaitu MX) mailservers tidak memaksa TLS:

Menurut RFC 2487, ini TIDAK HARUS diterapkan untuk server SMTP yang dirujuk secara publik. Opsi ini karenanya dinonaktifkan secara default.

Jadi: Seberapa berlaku / relevan dokumentasi tersebut (atau RFC yang berusia 15 tahun), dan bisakah saya dengan aman memaksa TLS pada semua koneksi SMTP masuk tanpa mengunci setengah dari ISP dunia?

security email postfix tls Craig Watson
sumber
1
Standar dibuat oleh komite yang anggotanya mungkin tidak pernah bekerja sebagai sysadmin bahkan satu tahun dalam hidup mereka, dan itu cukup terlihat dalam hampir setiap spesifikasi standar internet. Dalam kasus RFC adalah situasi yang sedikit lebih baik, tetapi RFC bukan standar. Itu adalah draft (" r equest f or c omment"). Dan: Anda mendapatkan upah Anda bukan dari kertas, tetapi dari perusahaan.
peterh
7
RFC itu sudah usang oleh RFC 3207 . Dan pengarangnya sudah ada jauh lebih lama dari satu komentator di sini tampaknya berpikir.
Michael Hampton
6
Untuk email keluar , berikut beberapa statistik dari Facebook: Keadaan Saat Ini dari Penggunaan SMTP STARTTLS
masegaloeh
Tidak yakin dengan alasan downvote tunggal. Terima kasih Michel dan Peter atas pandangan Anda, sangat dihargai.
Craig Watson

Jawaban:

7

Ini adalah pertanyaan yang sangat rumit mengingat bahwa penyedia surat di dunia tidak siap menyediakan statistik di server surat mereka.

Diagnosis Mandiri

Untuk menentukan jawaban atas pertanyaan Anda berdasarkan server / domain rekan Anda sendiri, Anda dapat mengaktifkan pencatatan SSL:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Ini mengasumsikan bahwa Anda menyimpan pesan syslog email Anda untuk sementara waktu. Jika tidak, mungkin buat strategi pengarsipan syslog dan tulis skrip shell untuk meringkas penggunaan TLS di server Anda. Mungkin sudah ada skrip untuk melakukan ini.

Setelah Anda merasa nyaman bahwa semua rekan Anda mendukung TLS dan pada kekuatan sandi dan protokol yang ingin Anda terapkan, maka Anda dapat membuat keputusan yang tepat. Setiap lingkungan berbeda. Tidak ada satu jawaban yang akan memenuhi kebutuhan Anda.

Pengalaman pribadi saya sendiri

Untuk apa nilainya, server surat pribadi saya memberlakukan TLS. Ini memiliki efek samping lucu meniadakan sebagian besar bot spam, karena kebanyakan dari mereka tidak mendukung TLS. (Sampai perubahan itu, saya mengandalkan metodologi regexp S25R)

Memperbarui

Sudah satu tahun sejak saya menjawab ini dan satu-satunya masalah yang saya miliki menerima email dengan TLS dipaksakan adalah dari server web ujung depan di Blizzard (kontrol orangtua) dan sistem manajemen Linode. Semua orang yang berinteraksi dengan saya tampaknya mendukung TLS dengan sandi yang kuat.

Lingkungan Perusahaan

Dalam lingkungan perusahaan, saya akan sangat menyarankan Anda untuk mengaktifkan pendataan TLS dan membiarkannya berjalan cukup lama sebelum menerapkan TLS. Anda selalu dapat menerapkan TLS untuk nama domain tertentu di file tls_policy.

postconf -d smtp_tls_policy_maps

Situs postfix memiliki beberapa dokumentasi hebat tentang penggunaan peta kebijakan tls. Anda setidaknya dapat memastikan bahwa domain spesifik yang menyediakan informasi sensitif dienkripsi bahkan jika ISP mencoba untuk menghapus dukungan TLS dalam koneksi server awal.

Harun
sumber