Сканирование PCI сказало мне прекратить использовать TLS 1.0 для электронной почты. Я использую postfix, поэтому я отключил TLS 1.0, и весь трафик для 1.0 остановился. На следующий день я посмотрел логи и увидел много всего этого ...
connect from 66-220-155-139.outmail.facebook.com[66.220.155.139]
SSL_accept error from 66-220-155-139.outmail.facebook.com[66.220.155.139]: -1
warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640:
lost connection after STARTTLS from 66-220-155-139.outmail.facebook.com[66.220.155.139]
disconnect from 66-220-155-139.outmail.facebook.com[66.220.155.139]
Я связался с несколькими администраторами серверов. Оказывается, мы оба используем оппортунистический TLS, но у нас нет общего протокола TLS, они поддерживают 1.0, а я поддерживаю 1.2. После небольшого поиска в Google я думаю, что проблема заключается в том, что после неудачной попытки согласовать TLS не удалось вернуться к незашифрованному состоянию.
Так что мой вопрос. Как настроить postfix так, чтобы он пытался использовать только незашифрованную электронную почту со списком исправлений IP-адресов / доменов?
Хорошо, у меня все заработало, со вторым сервером.
server1 {only TLS 1.2} DNS of MX value 30
server2 {TLS 1.0, 1.1, 1.2} DNS of MX value 35
Internet --> Firewall(allow list of DNS email servers to server2)
--TLS(1.0)-> server2 --(with TLS1.2)-> server1
Проверьте журналы server1, чтобы получить список серверов, которым требуется правило брандмауэра.
Надеюсь, этот метод позволит мне лучше контролировать мусор PCI в будущем.
=== РЕДАКТИРОВАТЬ ===
После примерно слов я могу сказать, что попытка отключить TLS 1.0 сложна. Я пишу от 4 до 5 исключений в день. Большинство из них предназначены для банков и почтового сервера финансового характера. Также yahoo.com и paypal.com не будут работать с этим решением, они пробуют только первый MX, а не второй. Я собираюсь попросить об исключении и посмотреть, как запустить свой спам-фильтр в облаке, чтобы мой почтовый сервер принимал почту только от этого облачного спам-фильтра.
Для исходящей электронной почты вы можете настроить таблицу политик TLS в /etc/postfix/main.cf
. Проверьте эта официальная документация для получения более подробной информации и некоторых примеров.
Для входящей электронной почты используйте комбинацию smtpd_sender_restriction
и reject_plaintext_session
как объяснено в эти ответы.