服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 你如何configuration后缀只尝试未encryption的电子邮件与修复列表的IP地址/域?
Intereting Posts
ARP在本地networking中运行 意外的服务器关机 postfix / squirrelmail只能login自己的域名 不能在CentOS 5上安装php-mssql 安装Pecl PAMauthenticationApache Apache URLparsing – 将html文件作为目录提供 TLS证书和私钥在同一个文件中有什么作用? shell脚本调用perl脚本,但在perl脚本完成时退出 在Nginx中合并redirect 在编译OpenSSH Debian Squeeze的时候,我总是收到OpenSSL Header Version找不到的错误 我如何说服我的IT经理将企业从IE6升级到更新的浏览器? MySQL 5.5 InnoDB = OFF? 分析IIS日志文件 文件特定的visudo权限 nconf不能生成nagiosconfiguration文件

你如何configuration后缀只尝试未encryption的电子邮件与修复列表的IP地址/域?

PCI扫描告诉我停止使用TLS 1.0进行电子邮件。 我使用的是后缀,所以我禁用了TLS 1.0,1.0的所有stream量都停止了。 然后第二天,我看着日志,我看到很多这个… 

connect from 66-220-155-139.outmail.facebook.com[66.220.155.139] SSL_accept error from 66-220-155-139.outmail.facebook.com[66.220.155.139]: -1 warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640: lost connection after STARTTLS from 66-220-155-139.outmail.facebook.com[66.220.155.139] disconnect from 66-220-155-139.outmail.facebook.com[66.220.155.139]

我联系了一些服务器的pipe理员。 打开我们我们都使用机会TLS,但我们没有一个共同的TLS协议,他们支持1.0,我支持1.2。 经过一番googleing后,我认为这个问题是在尝试协商TLS失败之后无法恢复为未encryption的问题。

所以我的问题是。 你如何configuration后缀只尝试未encryption的电子邮件与修复列表的IP地址/域?

那么我得到它的工作,与第二台服务器。 

 server1 {only TLS 1.2} DNS of MX value 30 server2 {TLS 1.0, 1.1, 1.2} DNS of MX value 35 Internet --> Firewall(allow list of DNS email servers to server2) --TLS(1.0)-> server2 --(with TLS1.2)-> server1

检查server1的日志以获取需要防火墙规则的服务器列表。

这种方法有望使我能够在未来更好地控制PCI垃圾。

===编辑===

大约一口之后,我可以告诉你,禁用TLS 1.0是很困难的。 我一天一直写4到5个例外。 大部分是用于银行,和金融相关的电子邮件服务器。 此外,yahoo.com和paypal.com将不会使用这个解决scheme,他们只尝试第一个MX从来没有第二。 我会要求一个例外,并在云中查看运行我的垃圾邮件filter,所以我的电子邮件服务器只需接受来自该垃圾邮件filter的邮件。

对于传出电子邮件,您可以在/etc/postfix/main.cfconfigurationTLS策略表。 查看这个官方文档了解更多细节和一些例子。

对于入站电子邮件,请按照这些答案中的说明使用smtpd_sender_restrictionreject_plaintext_session组合。