जीमेल Dovecot ईमेल को असुरक्षित के रूप में चिह्नित करता है


10

मुझे लगा कि मैंने अपने पोस्टफ़िक्स / डवकोट ईमेल सर्वर को सफलतापूर्वक सुरक्षित कर लिया है। मेरे पास LetsEncrypt से एक हस्ताक्षरित प्रमाणपत्र है, जो मेरे डोमेन के लिए मान्य है।

भेजना और प्राप्त करना ठीक काम करता है, लेकिन चूंकि जीमेल ने असुरक्षित ईमेलों को चिह्नित करना शुरू कर दिया है, इसलिए मेरे सर्वर से भेजे गए सभी मेलों को अनएन्क्रिप्टेड के रूप में चिह्नित किया गया है।

जीमेल उपयोगकर्ता इस तरह से "यह संदेश एन्क्रिप्ट नहीं किया गया था" देखते हैं:

यहाँ छवि विवरण दर्ज करें

पोस्टफिक्स में main.cf, अन्य सेटिंग्स में, मेरे पास है:

# SASL, for SMTP authentication
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, for encryption
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

पोस्टफिक्स में master.cf, अन्य सेटिंग्स में, मेरे पास है:

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

दोवकोट में 10-ssl.conf, अन्य सेटिंग्स में, मेरे पास है:

ssl = required
ssl_ca = </etc/letsencrypt/live/mydomain.com/chain.pem
ssl_cert = </etc/letsencrypt/live/mydomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mydomain.com/privkey.pem

क्या Gmail गलत तरीके से LetsEncrypt प्रमाणपत्र फ़्लैग कर रहा है क्योंकि यह उन पर विश्वास नहीं करता है, या क्या मेरा ईमेल वास्तव में अनएन्क्रिप्टेड भेजा जा रहा है?


1
कृपया पोस्टफ़िक्स पोस्ट करें main.cf। आपने अपने स्निपेट्स में प्रासंगिक सब कुछ शामिल नहीं किया है।
माइकल हैम्पटन

@ मिचेल हैम्पटन - निश्चित बात। मैंने अपने main.cf की सभी कस्टम सामग्री जोड़ ली है। की तरह यह केवल शामिल नहीं बुनियादी सामान smtpd_banner, myhostnameआदि
gavanon

जवाबों:


11

मैंने इन दोनों पंक्तियों को पोस्टफिक्स में जोड़कर इसे हल किया है main.cf:

smtp_tls_security_level = may
smtpd_tls_security_level = may

(मैंने केवल smtpd_tls_security_levelएक भ्रामक लेख के कारण सेट किया था जिसमें कहा गया था कि सभी smtp_मूल्यों के पक्ष में मूल्यह्रास किया गया था smtpd_।)


7

आपका ईमेल अनएन्क्रिप्टेड भेजा गया है। यदि आप बस अपना सर्वश्रेष्ठ करने की कोशिश करना चाहते हैं तो अपने main.cf में निम्नलिखित जोड़ें

smtp_tls_security_level = may

Google को भेजे गए ईमेल के लिए TLS एन्क्रिप्शन लागू करने के लिए इसे अपने main.cf में जोड़ें

# Force TLS for outgoing server connection
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/ 

बदलें / etc / postfix / rootcas / अपने विश्वसनीय रूट CA के स्थान के साथ और फ़ाइल में / etc / postfix / tls_policy जोड़ें

#/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

यह उस ईमेल को लागू करेगा, जो gmail.com पर भेजा गया है।, google.com और googlemail.com SMTP सर्वर को एन्क्रिप्ट और प्रमाणित कर रहे हैं।

यदि आप प्रमाणित नहीं करना चाहते हैं और सिर्फ एन्क्रिप्ट (यह फर्जी प्रमाणपत्र वाली साइटों के लिए आवश्यक है) का उपयोग करें

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

पोस्टफ़िक्स निष्पादित को पुनः आरंभ करने से पहले

postmap /etc/postfix/tls_policy

इसके लिए धन्यवाद। मैं वास्तव में करने की कोशिश कर रहा हूँ जब भी सभी गंतव्यों के लिए संभव हो तो टीएलएस को मजबूर किया जाए, और सुरक्षित रूप से केवल अंतिम विकल्प के रूप में अनएन्क्रिप्टेड पर वापस गिर जाए यदि गंतव्य इसका समर्थन नहीं करता है। क्या विशिष्ट डोमेन की सूचियों के बिना यह संभव है? टीएलएस के कैच-ऑल फोर्सिंग की तरह?
गवनॉन

समस्या यह है कि कई सर्वर हैं जो टीएलएस और अन्य का समर्थन नहीं करते हैं जो इसका समर्थन करते हैं और स्वनिर्धारित या फर्जी प्रमाण पत्र का उपयोग करते हैं। जैसा कि STARTLS स्पष्ट पाठ में भेजा गया है एक सक्रिय हमलावर इसे पारगमन पर पट्टी कर सकता है। मैं मानता हूं कि एक अलग लंबी मेज रखना सबसे सुरक्षित है लेकिन सबसे विश्वसनीय समाधान नहीं है
जोफरे


धन्यवाद - आपके उत्तर का पहला भाग सहायक था smtp_tls_security_level = may:। यह वह सब था जो आवश्यक था, और बाकी Google-विशिष्ट सेटिंग्स आवश्यक नहीं थीं।
गवनॉन

5

SMTP के संबंध में ग्राहक / सर्वर संबंध पर विचार करें और सेटिंग्स समझ में आती हैं:

2.1। बुनियादी संरचना

SMTP डिज़ाइन को निम्नानुसार चित्रित किया जा सकता है:

              +----------+                +----------+
  +------+    |          |                |          |
  | User |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commands/Replies| Server-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | File |<-->|          |    and Mail    |          |<-->| File |
  |System|    |          |                |          |    |System|
  +------+    +----------+                +----------+    +------+
               SMTP client                SMTP server

(Src: rfc5321.txt)

इस प्रकार:

"smtp_tls_security_level" पोस्टफ़िक्स SMTP क्लाइंट के लिए है। देखें: http://www.postfix.org/postconf.5.html#smtp_tls_security_level

"smtp d _tls_security_level" पोस्टफ़िक्स SMTP सर्वर के लिए है देखें: http://www.postfix.org/postconf.5.html#smtpd_tls_security_level

जब पोस्टफ़िक्स मेल को जीमेल में स्थानांतरित कर रहा है, तो smtp_tls_security_level सेटिंग संबंधित सेटिंग है।

जब पोस्टफ़िक्स smtp पर मेल प्राप्त कर रहा है , तो smtp d _tls_security_level सेटिंग प्रासंगिक है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.