我运行由标准Postfix,SpamAssassin,ClamAV,SPF / DKIM检查等组成的MTA。该MTA仅用于入站电子邮件,不托pipe任何帐户,并将通过所述检查的任何邮件转发到共享虚拟主机。
我知道有几个电子邮件服务在尝试将邮件传递到我的服务器之前就开始以纯文本方式尝试TLS连接。
我意识到,并不是所有的服务都支持TLS,但是我想知道它是如何被良好接受的,这样我才能够满足我的大脑强迫症(OCD)的安全性(是的,我知道SSL并不像我们曾经认为的那样安全…)。
smtpd_tls_security_level的Postfix文档声明RFC 2487规定所有公开引用的(即MX)邮件服务器都不强制使用TLS:
根据RFC 2487,这不能应用于公共引用的SMTP服务器。 因此这个选项默认是closures的。
那么: 文档(或15年前的RFC)如何适用/相关?我可以安全地强制所有入站SMTP连接使用TLS,而不locking全球一半的ISP?
这是一个非常复杂的问题,因为世界上的邮件提供商不太容易提供他们的邮件服务器的统计信息。
自我诊断
要根据您自己的服务器/域对等方来确定您的问题的答案,您可以启用SSL日志logging:
postconf -e \ smtpd_tls_loglevel = "1" \ smtpd_tls_security_level = "may" postconf postfix reload
这假设您将邮件系统日志消息保存一段时间。 如果没有,可能会设置一个系统日志归档策略并编写一个shell脚本来总结服务器上的TLS使用情况。 也许已经有脚本来做到这一点。
一旦你对所有的同行都支持TLS以及你愿意执行的密码和协议强度感到满意,那么你可以做出明智的决定。 每个环境都不一样。 没有一个答案能够满足你的需求。
我个人的经历
对于它的价值,我自己的个人邮件服务器强制执行TLS。 这有一个有趣的副作用,否定大多数垃圾邮件机器人,因为他们大多不支持TLS。 (直到那个改变,我依靠S25R正则expression式方法)
更新
自从我回答了这个问题已经有一年了,我唯一遇到的问题就是暴雪公司的前端Web服务器(家长控制系统)和Linode的pipe理系统。 我与其他人交往似乎支持TLS强大的密码就好了。
企业环境
在企业环境中,我强烈build议您启用TLS日志logging,并在执行TLS之前将其保留很长时间。 您始终可以为tls_policy文件中的特定域名强制使用TLS。
postconf -d smtp_tls_policy_maps
后缀站点有一些关于tls策略映射使用的很好的文档。 您至less可以确保提供敏感信息的特定域即使在ISP尝试在初始服务器连接中去除TLS支持时也被encryption。