Deaktivieren Sie Postfix-Server-TLS für bestimmte Clients

Question 1

Wenn Sie ihre Nachlässigkeit wirklich umgehen möchten, könnten Sie hinzufügenein separater TLS-ignoranter Server. Habe esSprechen Sie nur mit einer Liste bekanntermaßen schlechter Kunden(angegeben durch ehlo oder Adresse) und machen Sie es nur über einen MX-Eintrag mit höherer Priorität oder über eine Firewall zugänglich, um die Sicherheit anderer Clients nicht zu beeinträchtigen.

Worin besteht der Unterschied zu nur smtp_tls_security_level=may?Dadurch erhält ein Client, dem es nicht gelingt, einen sicheren Kanal herzustellen (nachdem er dies beim Haupt-MX angefordert hat), eine zweite Chance, bei der er seinen Fehler nicht wiederholen kann, weil der zweite Server keine STARTTLSentsprechende Fähigkeit ankündigt.

Wie es geht?DerVeröffentlichen über separaten MX-EintragRoute ist sicherer, da siemehr oder wenigergreift auf den allgemeinen Fall zurück, wenn Ihre Sonderkonfiguration unweigerlich veraltet, aber die bloße Port-Umleitung auf Ihrer Seite weniger Einrichtungsschritte erfordert:

Duplizieren Sie Ihre SMTP-Zeile master.cfmit einem anderen Port und zusätzlichen Optionen (markieren Sie die Protokollzeilen und fügen Sie einen Kommentar hinzu, damit ein zukünftiger Administrator versteht, warum um Himmels willen dies getan wurde):

smtp       inet  n       -       y       -       -       smtpd
10025      inet  n       -       y       -       -       smtpd
 -o syslog_name=postfix/smtpd/badstarttls
 -o smtpd_tls_security_level=none
 -o smtpd_helo_required=yes
 -o smtpd_helo_restrictions=pcre:/etc/postfix/helo_badstarttls_allow.pcre,reject

Die Umleitung auf einen anderen Port funktioniert -A PREROUTING .. -j REDIRECT --to-port ..in iptables oder in nftables:

tcp dport 25 ip protocol tcp ip saddr { XX.XX.XX.XX } redirect to :10025

Doch das ist vermutlich weder die einfachste noch die richtige Wahl.So ziemlich jeder, der E-Mails verschickt, verschickt E-Mails, diesollensicher transportiert werden. Wer sich für den Bruch bewährter Verfahren Sondergenehmigungen ausstellt, macht sich mitschuldig daran.Lassen Sie es stattdessen von ihnen reparieren.

Wenn sie in der EU ansässig sind, haben sie sogar eine bevorzugte Kontaktmethode für eine Rolle veröffentlicht, dieDatenschutzbeauftragterEs ist also nicht Ihre Aufgabe, ihnen zu erklären, warum die Behebung ihres Setups Priorität hat. Sie müssen sie lediglich darüber informieren, dass der nicht gewartete Server personenbezogene Daten verarbeitet.

Answer

Wenn Sie ihre Nachlässigkeit wirklich umgehen möchten, könnten Sie hinzufügenein separater TLS-ignoranter Server. Habe esSprechen Sie nur mit einer Liste bekanntermaßen schlechter Kunden(angegeben durch ehlo oder Adresse) und machen Sie es nur über einen MX-Eintrag mit höherer Priorität oder über eine Firewall zugänglich, um die Sicherheit anderer Clients nicht zu beeinträchtigen.

Worin besteht der Unterschied zu nur smtp_tls_security_level=may?Dadurch erhält ein Client, dem es nicht gelingt, einen sicheren Kanal herzustellen (nachdem er dies beim Haupt-MX angefordert hat), eine zweite Chance, bei der er seinen Fehler nicht wiederholen kann, weil der zweite Server keine STARTTLSentsprechende Fähigkeit ankündigt.

Wie es geht?DerVeröffentlichen über separaten MX-EintragRoute ist sicherer, da siemehr oder wenigergreift auf den allgemeinen Fall zurück, wenn Ihre Sonderkonfiguration unweigerlich veraltet, aber die bloße Port-Umleitung auf Ihrer Seite weniger Einrichtungsschritte erfordert:

Duplizieren Sie Ihre SMTP-Zeile master.cfmit einem anderen Port und zusätzlichen Optionen (markieren Sie die Protokollzeilen und fügen Sie einen Kommentar hinzu, damit ein zukünftiger Administrator versteht, warum um Himmels willen dies getan wurde):

smtp       inet  n       -       y       -       -       smtpd
10025      inet  n       -       y       -       -       smtpd
 -o syslog_name=postfix/smtpd/badstarttls
 -o smtpd_tls_security_level=none
 -o smtpd_helo_required=yes
 -o smtpd_helo_restrictions=pcre:/etc/postfix/helo_badstarttls_allow.pcre,reject

Die Umleitung auf einen anderen Port funktioniert -A PREROUTING .. -j REDIRECT --to-port ..in iptables oder in nftables:

tcp dport 25 ip protocol tcp ip saddr { XX.XX.XX.XX } redirect to :10025

Doch das ist vermutlich weder die einfachste noch die richtige Wahl.So ziemlich jeder, der E-Mails verschickt, verschickt E-Mails, diesollensicher transportiert werden. Wer sich für den Bruch bewährter Verfahren Sondergenehmigungen ausstellt, macht sich mitschuldig daran.Lassen Sie es stattdessen von ihnen reparieren.

Wenn sie in der EU ansässig sind, haben sie sogar eine bevorzugte Kontaktmethode für eine Rolle veröffentlicht, dieDatenschutzbeauftragterEs ist also nicht Ihre Aufgabe, ihnen zu erklären, warum die Behebung ihres Setups Priorität hat. Sie müssen sie lediglich darüber informieren, dass der nicht gewartete Server personenbezogene Daten verarbeitet.

Question 2

Dies sollte nur auf eingestellt werden may. Opportunistisches TLS ist für lange Zeit das Beste, was wir für E-Mails bekommen werden.

Answer

Dies sollte nur auf eingestellt werden may. Opportunistisches TLS ist für lange Zeit das Beste, was wir für E-Mails bekommen werden.

Deaktivieren Sie Postfix-Server-TLS für bestimmte Clients

Antwort1

Antwort2

verwandte Informationen