Postfix: TLS kikapcsolása adott SMTP szerverek felől érkező kapcsolatokra

 ( ekzsolt | 2019. január 8., kedd - 14:36 )

Postfix szervereimen igyekszem haladni a korral. Küldéshez és fogadáshoz opcionális TLS-t használok TLSv1.2 és TLSv1.3 protokollokkal és biztonságos algoritmusokkal (cipher). Előfordul azonban, hogy nem kapok meg emaileket azért, mert a küldő szervere elavult TLS protokollokat használ (SSLv2, SSLv3, TLSv1.0). És a logok alapján azt látom, hogy folyamatosan próbálkozik, erőlteti ezeket a régi protokollokat, és meg sem próbálja a plaintext kapcsolatot, pedig volna rá lehetősége.

Vajon hogyan adhatnék meg kivételt postfix konfigban, hogy bizonyos IP-k felől jövő kapcsolatok felé ne is hirdessen STARTTLS-t?

Bizonyára nektek is az smtp_tls_policy_maps ugrana be elsőre, csakhogy ez nem a bejövő kapcsolatokra vonatkozik.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://www.postfix.org/postconf.5.html#smtp_tls_mandatory_protocols

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Nem az SMTP klienshez keresi a kolléga a beállítást.

Igazad van, ezt akartam irni: smtpd_tls_mandatory_protocols aztan rosszat linkeltem.

[szerk.] Nem tudom, hogy gyengebb (plain text) fele lehet-e menni...

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Plaintext-hez ez bizony nem jó. Ráadásul ez ugyebár mandatory, azaz kötelező TLS kapcsolatokra jó, amikor az smtpd_tls_security_level=encrypt. Én viszont smtpd_tls_security_level=may beállítást használok, azaz opportunistic TLS encryption-t, amivel elérhető opcionálisan a plaintext kapcsolat is. Az eredeti kérdésben pont ez a problémám, hogy a távoli szerver meg sem próbál plaintext kapcsolódni, hiába van erre lehetősége. Ezért szeretném valahogy őt kényszeríteni, hogy ne is lásson az én szerveremen TLS-t hirdetve.

Én az ilyenre azt mondom, hogy vissza kell engedélyezni a régebbi TLS protokollokat, és úgy kell rájuk tekinteni, mintha plaintext volna.

+1 - És emellett szerintem nem a fogadó oldalon kell ezt megpróbálni kezelni.

+1 A sima TLSv1-et még sokáig nem lehet szerintem az SMTP-nél elhagyni.

Igen, hirtelen én is így kerültem meg a problémát: smtpd_tls_protocols = TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

Csak fura, hogy úgytűnik nincs erre Postfix konfig, hogy SMTPd oldalon is lenne valamiféle tls_policy_map.

TLSv1.0 illetve par gyengebb cipher szerintem nem kikapcsolhato meg manapsag, de aki SSLv2-vel meg SSLv3-al probalkozik annak jar a f@szkorbacs :)

Küldj egy Boldog 2019-es újévi üdvözletet az ominózus szerverek adminjainak? :-)