Dans quelle mesure TLS forcé est-il largement pris en charge sur les connexions SMTP entrantes?


10

J'exécute un MTA composé des vérifications Postfix, SpamAssassin, ClamAV, SPF / DKIM standard, etc.

Je suis conscient que certains services de messagerie commencent à tenter des connexions TLS avant le texte brut lors de la tentative de remise de courrier à mon serveur.

Je me rends compte que tous les services ne prendront pas en charge TLS, mais je me demande à quel point il est bien adopté pour que je puisse satisfaire le côté sécurité OCD de mon cerveau (oui, je sais que SSL n'est pas aussi sécurisé que nous le pensions autrefois) ...).

La documentation de Postfix pour les smtpd_tls_security_levelÉtats que RFC 2487 décrets que tous (c. -à- MX) mailservers publics référencés ne contraignez pas TLS:

Selon la RFC 2487, cela NE DOIT PAS être appliqué dans le cas d'un serveur SMTP référencé publiquement. Cette option est donc désactivée par défaut.

Donc: dans quelle mesure la documentation est-elle applicable / pertinente (ou le RFC vieux de 15 ans), et puis-je forcer TLS sur toutes les connexions SMTP entrantes en toute sécurité sans verrouiller la moitié des FAI du monde?


1
Les normes sont créées par des comités dont les membres n'ont probablement jamais travaillé comme administrateur système, même une seule année de leur vie, et cela est assez visible dans pratiquement toutes les spécifications des normes Internet. Dans le cas des RFC, la situation est un peu meilleure, mais les RFC ne sont pas des normes. Ce sont des ébauches (« r equest f or c omments»). Et: vous obtenez votre salaire non pas d'un papier, mais d'une entreprise.
peterh

7
Cette RFC a été obsolète par la RFC 3207 . Et son auteur existe depuis bien plus longtemps que ne le pense un commentateur.
Michael Hampton

6
Pour les e-mails sortants , voici quelques statistiques de Facebook: L'état actuel du déploiement de SMTP STARTTLS
masegaloeh

Pas sûr de la raison du vote négatif unique. Merci Michel et Peter pour votre point de vue, très apprécié.
Craig Watson

Réponses:


7

C'est une question très compliquée étant donné que les fournisseurs de messagerie du monde ne fournissent pas facilement des statistiques sur leurs serveurs de messagerie.

Auto-diagnostic

Pour déterminer la réponse à votre question en fonction de vos propres serveurs / homologues de domaine, vous pouvez activer la journalisation SSL:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Cela suppose que vous enregistrez vos messages Syslog de messagerie pendant un certain temps. Sinon, définissez peut-être une stratégie d'archivage Syslog et écrivez un script shell pour résumer l'utilisation de TLS sur votre serveur. Peut-être existe-t-il déjà un script pour le faire.

Une fois que vous êtes sûr que tous vos pairs prennent en charge TLS et à la force de chiffrement et de protocole que vous êtes prêt à appliquer, vous pouvez alors prendre une décision éclairée. Chaque environnement est différent. Il n'y a pas de réponse unique qui répondra à vos besoins.

Ma propre expérience personnelle

Pour ce que ça vaut, mon propre serveur de messagerie personnel applique TLS. Cela a un effet secondaire amusant de nier la plupart des robots de spam, car la plupart d'entre eux ne prennent pas en charge TLS. (Jusqu'à ce changement, je comptais sur la méthodologie d'expression régulière S25R)

Mettre à jour

Cela fait un an que je n'ai pas répondu et le seul problème que j'ai eu à recevoir des e-mails avec TLS forcé était des serveurs Web frontaux de Blizzard (contrôle parental) et du système de gestion de Linode. Tous les autres avec qui j'interagis semblent prendre en charge TLS avec des chiffres forts très bien.

Environnement d'entreprise

Dans un environnement d'entreprise, je vous encourage fortement à activer la journalisation TLS et à la laisser fonctionner assez longtemps avant d'appliquer TLS. Vous pouvez toujours appliquer TLS pour des noms de domaine spécifiques dans le fichier tls_policy.

postconf -d smtp_tls_policy_maps

Le site postfix contient une excellente documentation sur l'utilisation des cartes de politique tls. Vous pouvez au moins vous assurer que des domaines spécifiques qui fournissent des informations sensibles sont chiffrés même si un FAI essaie de supprimer la prise en charge TLS dans la connexion de serveur initiale.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.