저는 최근에 기본 메일 서버를 새 서버로 마이그레이션했습니다. 이전 서버는 거의 10년 동안 운영되었으며 약 20개 도메인과 40개 이상의 사서함을 위한 프로덕션 서버였습니다.
모든 것이 잘 진행되었으며 구성은 이전 구성과 크게 다르지 않습니다. postfix와 dovecot은 더 최근에 나온 것입니다.
내가 겪고 있는 한 가지 문제는 호환성 이유로 최소한 TLSv1.1을 활성화하는 것입니다. 로그에 많은 TLS 관련 연결 오류가 표시되고 TLSv1.2를 지원하지 않는 El Capitain에서 Apple Mail을 사용하는 완고한 클라이언트가 있습니다.
업그레이드할 시간을 확보하려면 최소 1년 동안 이 기능을 활성화해야 합니다. 문제는 내가 postfix main.cf에 무엇을 지정하든 TLSv1.2 이상만 제공한다는 것입니다.
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
그리고
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
하지만 testsl.sh로 테스트하면 항상 다음과 같은 결과가 나옵니다.
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 offered (OK)
TLS 1.3 offered (OK): final
포트 25, 제출 또는 smtps. TLSv1.1을 활성화하기 위해 centos8에서 놓친 것이 있습니까?
편집: smptd에 대해 이것을 지정하면
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
테스트 결과는 다음과 같습니다.
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 not offered
TLS 1.3 offered (OK): final
이제 TLSv2가 비활성화됩니까? 구성 파일에 뭔가 문제가 있는 걸까요? 3.6에서 구문이 변경된 것을 알고 있지만 이것도 작동합니다.
답변1
@moray CentOS 암호화 정책을 LEGACY로 설정해 보세요.
update-crypto-policies --set LEGACY
RedHat 기사와 관련하여 이는 TLSv1.0/TLSv1.1을 활성화합니다. 이것을 설정한 후 postfix를 다시 시작하면 메일이 배달됩니다.