Postfix: TLS kikapcsolása adott SMTP szerverek felől érkező kapcsolatokra

Web, mail, IRC, IM, hálózatok

Postfix szervereimen igyekszem haladni a korral. Küldéshez és fogadáshoz opcionális TLS-t használok TLSv1.2 és TLSv1.3 protokollokkal és biztonságos algoritmusokkal (cipher). Előfordul azonban, hogy nem kapok meg emaileket azért, mert a küldő szervere elavult TLS protokollokat használ (SSLv2, SSLv3, TLSv1.0). És a logok alapján azt látom, hogy folyamatosan próbálkozik, erőlteti ezeket a régi protokollokat, és meg sem próbálja a plaintext kapcsolatot, pedig volna rá lehetősége.

Vajon hogyan adhatnék meg kivételt postfix konfigban, hogy bizonyos IP-k felől jövő kapcsolatok felé ne is hirdessen STARTTLS-t?

Bizonyára nektek is az smtp_tls_policy_maps ugrana be elsőre, csakhogy ez nem a bejövő kapcsolatokra vonatkozik.

  • 848 megtekintés

Plaintext-hez ez bizony nem jó. Ráadásul ez ugyebár mandatory, azaz kötelező TLS kapcsolatokra jó, amikor az smtpd_tls_security_level=encrypt. Én viszont smtpd_tls_security_level=may beállítást használok, azaz opportunistic TLS encryption-t, amivel elérhető opcionálisan a plaintext kapcsolat is. Az eredeti kérdésben pont ez a problémám, hogy a távoli szerver meg sem próbál plaintext kapcsolódni, hiába van erre lehetősége. Ezért szeretném valahogy őt kényszeríteni, hogy ne is lásson az én szerveremen TLS-t hirdetve.

( mauzi v | 2019. 01. 08., k – 15:04 )

Én az ilyenre azt mondom, hogy vissza kell engedélyezni a régebbi TLS protokollokat, és úgy kell rájuk tekinteni, mintha plaintext volna.

( Sixday v | 2019. 01. 08., k – 15:48 )

TLSv1.0 illetve par gyengebb cipher szerintem nem kikapcsolhato meg manapsag, de aki SSLv2-vel meg SSLv3-al probalkozik annak jar a f@szkorbacs :)

( uid_4278 | 2019. 01. 08., k – 15:59 )

Küldj egy Boldog 2019-es újévi üdvözletet az ominózus szerverek adminjainak? :-)