Назад | Перейти на главную страницу

Как я могу принудительно применить TLS в sendmail, если мне не обязательно знать имя хоста нисходящего MTA (только IP)? [например. по домену получателя]

Я запускаю SendMail 8.14 и имею несколько настраиваемых статических маршрутов для отправки в определенные домены. Эти домены являются «внутренними», но не управляются мной напрямую.

Вот пример /etc/mail/mailertable:

fooexample.com          esmtp:[1.1.1.1]:[2.2.2.2]

Идея здесь в том, что я всегда хочу сначала попробовать отправить на 1.1.1.1 и отправить только на 2.2.2.2, если основной недоступен.

Это прекрасно работает. Он даже использует оппортунистический TLS. Woohoo.

Я сейчас хочу применять / требовать Шифрование STARTTLS при отправке в этот домен. Таким образом, если я отправляю на 1.1.1.1, а у них почему-то нет TLS, я не пропущу сообщение.

Я реализовал эту политику для внешних доменов в прошлом и исторически просто добавил ее в /etc/mail/access:

TLS_Clt:exampledomainname.com ENCR:112

(где examplehostname.com является частью имени хоста записи MX / A для системы - не обязательно домен электронной почты ... поскольку в наши дни электронную почту могут обрабатывать облачные службы).

Annnnnyway, я не уверен, что это сработает для моего нового сценария, потому что я использую статический маршрут и не разрешаю записи MX / A (как я думал TLS_Clt в конечном итоге смотрел.)

Итак, мои вопросы:

1) Что именно TLS_Clt ищу в подходящем шаблоне и как он это проверяет, указываю ли я статический маршрут?

2) Могу я просто добавить TLS_Clt:fooexample.com ENCR:112? Или должно быть что-то вроде

TLS_Clt:1.1.1.1 ENCR:112
TLS_Clt:2.2.2.2 ENCR:112

Спасибо.

Укороченная версия:

Использовать TLS_Rcpt доступ к записям таблицы. чтобы указать требования к домену получателя.

TLS_Rcpt:fooexample.com ENCR:112`

Полная версия:

0) TLS_Clt для входящий соединения. Использовать TLS_Srv для исходящий связи
1) Sendmail ищет TLS_Srv записи в таблице доступа на основе $&{server_name} первый и $&{server_addr} потом.
2) TLS_Srv:fooexample.com ENCR:112 не будет делать то, что вы хотите (в любом случае)
Вы можете использовать TLS_Rcptдля указания требований к домену получателя или получателя в таблице доступа