Recentemente migrei meu servidor de e-mail principal para um novo, o antigo estava em funcionamento há quase 10 anos e era o servidor de produção para cerca de 20 domínios e mais de 40 caixas de correio.
Correu tudo bem e a configuração não é muito diferente da antiga, embora o postfix e o dovecot sejam mais recentes.
Um problema que estou tendo é ativar pelo menos o TLSv1.1 por motivos de compatibilidade. Estou vendo nos logs muitos erros de conexão relacionados ao TLS e tenho um cliente teimoso que está usando o Apple Mail no El Capitain que não suporta TLSv1.2.
Preciso ter isso ativado por pelo menos um ano para dar tempo para atualizações. O problema é que não importa o que eu especifique no postfix main.cf, ele servirá apenas TLSv1.2 e superior.
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
e
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
mas se eu testar com testessl.sh sempre recebo
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 offered (OK)
TLS 1.3 offered (OK): final
na porta 25, envio ou smtps. Perdi alguma coisa no centos8 para habilitar o TLSv1.1?
Editar: se eu especificar isso para o smptd
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
O resultado do teste é:
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 not offered
TLS 1.3 offered (OK): final
Então agora ele desativa o TLSv2? Estou fazendo algo errado no arquivo de configuração? Eu sei que a sintaxe mudou no 3.6, mas esta também deve funcionar.
Responder1
@moray tente definir sua política de criptografia CentOS como LEGACY:
update-crypto-policies --set LEGACY
Em relação ao artigo RedHat, isso habilita TLSv1.0/TLSv1.1. Depois de configurar isso, basta reiniciar seu postfix e seus e-mails serão entregues.