web-dev-qa-db-ja.com

インバウンドSMTP接続で強制TLSはどの程度広くサポートされていますか?

標準のPostfix、SpamAssassin、ClamAV、SPF/DKIMチェックなどで構成されるMTAを実行します。このMTAは受信メールのみに使用され、アカウントをホストせず、上記のチェックに合格したメールを共有ウェブホストに転送します。

サーバーにメールを配信しようとすると、いくつかのメールサービスがプレーンテキストの前にTLS接続を試行し始めていることを認識しています。

私はすべてのサービスがTLSをサポートするわけではないことを理解していますが、私が頭のOCDのセキュリティ面を満足させるためにどれほどうまく採用されているのか疑問に思っています(そう、SSLはかつて思っていたほど安全ではないことを知っています) ...)。

Postfixドキュメント for smtpd_tls_security_levelRFC 2487 公に参照されているすべての(つまりMX)メールサーバーがTLSを強制しないことを定めています:

RFC 2487によれば、これは公的に参照されているSMTPサーバーの場合には適用してはなりません(MUST NOT)。したがって、このオプションはデフォルトでオフになっています。

だから:ドキュメント(または15歳のRFC)の適用/関連性はどの程度か、そして世界のISPの半分をロックアウトせずに、すべての受信SMTP接続にTLSを安全に強制できるか?

10
Craig Watson

これは非常に複雑な質問であり、世界中のメールプロバイダーがメールサーバーの統計を簡単に提供できないためです。

自己診断

独自のサーバー/ドメインピアに基づいて質問への回答を判断するには、SSLログを有効にします。

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

これは、メールのsyslogメッセージをしばらく保存することを前提としています。そうでない場合は、syslogアーカイブ戦略を設定し、サーバーでのTLSの使用状況を要約するシェルスクリプトを作成します。おそらく、これを行うためのスクリプトがすでにあるでしょう。

すべてのピアがTLSをサポートし、暗号化とプロトコルの強度を強制的に適用できることに満足したら、情報に基づいた決定を行うことができます。環境はそれぞれ異なります。あなたのニーズを満たす答えはありません。

私自身の個人的な経験

価値があるのは、自分の個人用メールサーバーがTLSを適用することです。ほとんどのスパムボットはTLSをサポートしていないため、これにはネガティブな副作用があります。 (その変更まで、私はS25R正規表現方法論に依存していました)

更新

私がこれに答えてから1年が経過し、TLSを強制的にオンにしてメールを受信して​​いた唯一の問題は、Blizzard(ペアレンタルコントロール)のフロントエンドWebサーバーとLinodeの管理システムからのものでした。私とやり取りする他のすべての人は、強力な暗号でTLSをサポートしているようです。

企業環境

企業環境では、TLSロギングを有効にして、TLSを適用する前にかなり長い時間実行することを強くお勧めします。 tls_policyファイルで、特定のドメイン名にいつでもTLSを適用できます。

postconf -d smtp_tls_policy_maps

Postfixサイトには、tlsポリシーマップの使用に関する優れたドキュメントがあります。 ISPが最初のサーバー接続でTLSサポートを取り除こうとしても、機密情報を提供する特定のドメインが確実に暗号化されるようにすることができます。

7
Aaron