Я использую MTA, состоящий из стандартных проверок Postfix, SpamAssassin, ClamAV, SPF / DKIM и т. Д. Этот MTA используется только для входящей электронной почты, не содержит учетных записей и пересылает любую почту, которая передает указанные проверки, на общий веб-хост.
Мне известно, что некоторые почтовые службы начинают попытки подключения TLS до обычного текста при попытке доставить почту на мой сервер.
Я понимаю, что не все сервисы будут поддерживать TLS, но мне интересно, насколько он принят, чтобы я мог удовлетворить часть моего мозга, связанную с безопасностью ОКР (да, я знаю, что SSL не так безопасен, как мы когда-то думали ...).
В Документация Postfix для smtpd_tls_security_level утверждает, что RFC 2487 постановляет, что все почтовые серверы с общедоступными ссылками (например, MX) не используют TLS:
Согласно RFC 2487 это НЕ ДОЛЖНО применяться в случае общедоступного SMTP-сервера. Поэтому по умолчанию этот параметр отключен.
Так: Насколько применима / актуальна документация (или RFC 15-летней давности), и могу ли я безопасно принудительно использовать TLS для всех входящих SMTP-соединений, не блокируя половину мировых интернет-провайдеров?
Это очень сложный вопрос, учитывая, что мировые почтовые провайдеры не всегда предоставляют статистику по своим почтовым серверам.
Самодиагностика
Чтобы определить ответ на свой вопрос на основе ваших собственных узлов сервера / домена, вы можете включить ведение журнала SSL:
postconf -e \
smtpd_tls_loglevel = "1" \
smtpd_tls_security_level = "may"
postconf
postfix reload
Это предполагает, что вы некоторое время сохраняете сообщения системного журнала почты. Если нет, возможно, настройте стратегию архивирования системного журнала и напишите сценарий оболочки, чтобы суммировать использование TLS на вашем сервере. Возможно, для этого уже есть скрипт.
Когда вы будете уверены, что все ваши узлы поддерживают TLS, а также при той стойкости шифра и протокола, которую вы готовы обеспечить, вы можете принять обоснованное решение. Каждая среда индивидуальна. Нет одного ответа, который отвечал бы вашим потребностям.
Мой личный опыт
Как бы то ни было, мой личный почтовый сервер поддерживает TLS. У этого есть забавный побочный эффект, заключающийся в том, что большинство спам-ботов не работают, поскольку большинство из них не поддерживают TLS. (До этого изменения я полагался на методологию регулярного выражения S25R)
Обновить
Прошел год с тех пор, как я ответил на это, и единственные проблемы, с которыми я столкнулся с получением электронной почты с принудительным включением TLS, были связаны с интерфейсными веб-серверами Blizzard (родительский контроль) и системой управления Linode. Кажется, что все, с кем я общаюсь, отлично поддерживают TLS с надежными шифрами.
Корпоративная среда
В корпоративной среде я настоятельно рекомендую вам включить ведение журнала TLS и оставить его включенным на довольно долгое время, прежде чем применять TLS. Вы всегда можете принудительно применить TLS для определенных доменных имен в файле tls_policy.
postconf -d smtp_tls_policy_maps
На сайте postfix есть отличная документация по использованию карт политик tls. По крайней мере, вы можете гарантировать, что определенные домены, которые предоставляют конфиденциальную информацию, зашифрованы, даже если интернет-провайдер пытается отключить поддержку TLS при первоначальном подключении к серверу.