व्यापक रूप से समर्थित टीएलएस को इनबाउंड एसएमटीपी कनेक्शन पर मजबूर कैसे किया जाता है?

मैं मानक पोस्टफिक्स, स्पैमअस्सीसिन, क्लैमाव, एसपीएफ़ / डीकेआईएम चेक आदि से मिलकर एक एमटीए चलाता हूं। इस एमटीए का उपयोग केवल इनबाउंड ईमेल के लिए किया जाता है, किसी भी खाते की मेजबानी नहीं करता है और पास होने वाले किसी भी मेल को साझा करता है जो एक चेकहोल्ड चेक के लिए कहा जाता है।

मुझे पता है कि कुछ ईमेल सेवाएँ सादा-पाठ से पहले टीएलएस कनेक्शन का प्रयास करना शुरू कर रही हैं, जब मैं अपने सर्वर को मेल देने का प्रयास कर रहा हूं।

मुझे लगता है कि सभी सेवाएं टीएलएस का समर्थन नहीं करेंगी, लेकिन मैं सोच रहा हूं कि यह कितनी अच्छी तरह से अपनाया गया है ताकि मैं अपने मस्तिष्क के ओसीडी सुरक्षा पक्ष को संतुष्ट कर सकूं (हां, मुझे पता है कि एसएसएल उतना सुरक्षित नहीं है जितना कि हमने एक बार सोचा था कि यह था) ...)।

पोस्टफिक्स प्रलेखन के लिए smtpd_tls_security_levelकहा गया है कि आरएफसी 2487 फरमान है कि सभी सार्वजनिक रूप से संदर्भित (यानी एमएक्स) mailservers टीएलएस के लिए मजबूर नहीं है:

RFC 2487 के अनुसार सार्वजनिक रूप से संदर्भित SMTP सर्वर के मामले में यह जरूरी नहीं है। इसलिए यह विकल्प डिफ़ॉल्ट रूप से बंद है।

तो: कैसे लागू / प्रासंगिक है प्रलेखन (या उस मामले के लिए 15 वर्षीय आरएफसी), और क्या मैं दुनिया के आईएसपी के आधे हिस्से को लॉक किए बिना सभी इनबाउंड एसएमटीपी कनेक्शनों पर सुरक्षित रूप से टीएलएस को लागू कर सकता हूं?

यह एक बहुत ही जटिल प्रश्न है कि दुनिया के मेल प्रदाता आसानी से अपने मेल सर्वर पर आंकड़े प्रदान नहीं करते हैं।

स्वयम परीक्षण

अपने स्वयं के सर्वर / डोमेन साथियों के आधार पर अपने प्रश्न का उत्तर निर्धारित करने के लिए, आप एसएसएल लॉगिंग को सक्षम कर सकते हैं:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

यह मानता है कि आप अपने मेल syslog संदेशों को कुछ समय के लिए सहेजते हैं। यदि नहीं, तो शायद एक syslog संग्रह रणनीति स्थापित करें और अपने सर्वर पर TLS उपयोग को संक्षेप करने के लिए एक शेल स्क्रिप्ट लिखें। शायद ऐसा करने के लिए पहले से ही स्क्रिप्ट हैं।

एक बार जब आप सहज हो जाते हैं कि आपके सभी साथी टीएलएस का समर्थन करते हैं और सिफर और प्रोटोकॉल ताकत पर जिसे आप लागू करने के लिए तैयार हैं, तो आप एक सूचित निर्णय ले सकते हैं। हर माहौल अलग है। कोई भी ऐसा जवाब नहीं है जो आपकी जरूरतों को पूरा करे।

मेरा अपना निजी अनुभव

इसके लायक क्या है, मेरा अपना निजी मेल सर्वर टीएलएस लागू करता है। अधिकांश स्पैम बॉट्स की उपेक्षा करने का यह एक अजीब दुष्प्रभाव है, क्योंकि उनमें से अधिकांश टीएलएस का समर्थन नहीं करते हैं। (उस परिवर्तन तक, मैं S25R regexp कार्यप्रणाली पर भरोसा कर रहा था)

अपडेट करें

इसका उत्तर दिए हुए एक साल हो गया है और मुझे टीएलएस के साथ ईमेल प्राप्त करने के लिए मजबूर करने वाली एकमात्र समस्या ब्लिजार्ड (माता-पिता के नियंत्रण) और लिनोड के प्रबंधन प्रणाली के फ्रंट एंड वेब सर्वर से थी। बाकी सभी के साथ मैं बातचीत करता हूं टीएलएस का समर्थन करने के लिए मजबूत सिफर के साथ बस ठीक दिखाई देता है।

कॉर्पोरेट पर्यावरण

एक कॉर्पोरेट माहौल में, मैं आपको टीएलएस लॉगिंग को सक्षम करने और टीएलएस लागू करने से पहले काफी लंबे समय तक चलने को छोड़ने के लिए प्रोत्साहित करूंगा। आप हमेशा tls_policy फ़ाइल में विशिष्ट डोमेन नामों के लिए TLS लागू कर सकते हैं।

postconf -d smtp_tls_policy_maps

पोस्टफ़िक्स साइट में tls नीति मानचित्रों के उपयोग पर कुछ बेहतरीन दस्तावेज़ हैं। आप कम से कम यह सुनिश्चित कर सकते हैं कि विशिष्ट डोमेन जो संवेदनशील जानकारी प्रदान करते हैं, भले ही एक आईएसपी प्रारंभिक सर्वर कनेक्शन में टीएलएस समर्थन को छीनने की कोशिश करता हो।