Encontré problemas con un servidor defectuoso que intentaba enviarme algunos correos electrónicos que necesito desesperadamente.
El remitente siempre solicita STARTTLS pero luego no logra establecer una conexión TLS (v1.2+ compatible con mi servidor). Presumiblemente, entregaría correo sin cifrar a servidores de correo que no anunciarían esa capacidad.
Puedo deshabilitar TLS globalmente usando smtpd_tls_security_level, pero es realmente malo, por lo que me gustaría encontrar una configuración para deshabilitarlo solo para una lista determinada de servidores remotos que intentan comunicarse conmigo.
¿Es siquiera posible?
EDITAR: Aquí está el registro de Postfix con smtpd_tls_loglevel = 2:
belette64 postfix/smtpd[145475]: connect from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: setting up TLS connection from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: smtp.misconfigured.fr[XX.XX.XX.XX]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL3 alert write:fatal:handshake failure
belette64 postfix/smtpd[145475]: SSL_accept:error in error
belette64 postfix/smtpd[145475]: SSL_accept error from smtp.misconfigured.fr[XX.XX.XX.XX]: -1
belette64 postfix/smtpd[145475]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2282:
belette64 postfix/smtpd[145475]: lost connection after STARTTLS from smtp.misconfigured.fr[XX.XX.XX.XX]
Respuesta1
Si realmente quisiera solucionar su negligencia, podría agregarun servidor separado que ignora TLS. Tenerlosolo hable con una lista de clientes malos conocidos(según lo identificado por ehlo o dirección), y solo hacerlo accesible a través de un registro MX de mayor valor de prioridad o firewall, para no reducir la seguridad de otros clientes.
¿En qué se diferencia esto de simplemente smtp_tls_security_level=may?Le permitirá a un cliente que no pueda establecer un canal seguro (después de solicitarlo con el MX principal) una segunda oportunidad, donde no podrá repetir su error porque el segundo servidor no anuncia STARTTLSla capacidad.
¿Cómo hacerlo?Elpublicar a través de un registro MX separadoLa ruta es más segura ya quemás o menosrecurre al caso común cuando su configuración de caso especial inevitablemente se vuelve obsoleta, pero simplemente la redirección de puertos por su parte requiere menos pasos de configuración:
- Duplique su línea smtpd en
master.cf, con un puerto diferente y opciones adicionales (etiquete las líneas de registro, agregue un comentario para que un futuro administrador entienda por qué se hizo esto):
smtp inet n - y - - smtpd
10025 inet n - y - - smtpd
-o syslog_name=postfix/smtpd/badstarttls
-o smtpd_tls_security_level=none
-o smtpd_helo_required=yes
-o smtpd_helo_restrictions=pcre:/etc/postfix/helo_badstarttls_allow.pcre,reject
- La redirección a un puerto diferente funciona mediante
-A PREROUTING .. -j REDIRECT --to-port ..iptables; o en nftables:
tcp dport 25 ip protocol tcp ip saddr { XX.XX.XX.XX } redirect to :10025
Pero probablemente esa no sea la opción más fácil ni la correcta.Casi todos los que envían correo envían correo quedeberíaser transportado de forma segura. Si trabaja en adaptaciones especiales para violar las mejores prácticas, se convierte en cómplice de ello.En su lugar, haz que lo arreglen.
Si tienen su sede en la UE, incluso habrán publicado un método de contacto preferido para un puesto llamadoDelegado de protección de datospor lo que no será su tarea explicar la prioridad de que arreglen su configuración. Todo lo que tiene que hacer es notificarles sobre el servidor no mantenido que procesa datos personales.
Respuesta2
Esto sólo debe configurarse en may. TLS oportunista es lo mejor que obtendremos para el correo electrónico durante mucho tiempo.