У меня есть почтовый сервер с включенным оппортунистическим TLS (Postfix smtpd_tls_security_level = may), однако баннер SMTP маскируется исправлением SMTP на нашем FWSM. Прежде чем я отключу эту маскировку, требуется ли SMTP-баннер для других почтовых серверов, настроенных для гибкого TLS для согласования сеанса TLS для входящей почты? Я где-то читал, что Postfix может не использовать ESMTP, если этого термина нет в баннере.
Баннер замаскирован звездочками: 220 ************************************
Я думаю, здесь задаются два разных вопроса, поэтому я отвечу на них отдельно.
Вопрос 1: Требуется ли, чтобы баннер SMTP отображался без маски, чтобы другие почтовые серверы использовали TLS?
Ответ: Нет, сам заголовок приветствия SMTP не определяет право на использование TLS. Так что если это ТОЛЬКО то, что замаскировано, не должно вызывать проблем.
Вопрос 2 (перефразировано): Брандмауэр мешает входящим TLS-соединениям?
Ответ: Наверняка. Помимо маскировки приветственного баннера, служба проверки fixup / esmtp на брандмауэрах Cisco обычно принимает только определенные команды.
Я не уверен, какую версию / модель брандмауэра вы используете, но в соответствии с этим техническая заметка:
Проверка ESMTP работает так же, как проверка SMTP. Пакеты с недопустимыми командами преобразуются в шаблон «xxxx» и пересылаются на сервер, что вызывает отрицательный ответ. Недопустимой командой ESMTP является любая команда, кроме следующих:
AUTH DATA EHLO ETRN HELO HELP HELP MAIL NOOP QUIT RCPT RSET SAML SEND SOML VRFY
Когда внешние серверы подключаются и выдают ehlo Команда SMTP, они увидят список поддерживаемых сервисов / опций SMTP. Предполагая, что они видят 250-STARTTLS отправляющий сервер выдаст STARTTLS команда, чтобы начать попытку использовать TLS. Вы заметите, что этой команды нет в списке команд выше.
Таким образом, я подозреваю, что ваш брандмауэр мешает, но не из-за приветствия баннера. Думаю, это блокирует / маскирует команду STARTTLS с удаленного почтового сервера.