Encontrei problemas com alguns servidores ruins tentando me enviar alguns e-mails que eu preciso desesperadamente.
O remetente sempre solicita STARTTLS, mas não consegue estabelecer uma conexão TLS (v1.2+ conforme compatível com meu servidor) posteriormente. Presumivelmente, ele entregaria mensagens não criptografadas a servidores de correio que não anunciassem essa capacidade.
Posso desativar o TLS globalmente usando smtpd_tls_security_level, mas é muito ruim, então gostaria de encontrar uma configuração para desativá-lo apenas para uma determinada lista de servidores remotos que tentam entrar em contato comigo.
É mesmo possível?
EDIT: Aqui está o log do Postfix com smtpd_tls_loglevel = 2:
belette64 postfix/smtpd[145475]: connect from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: setting up TLS connection from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: smtp.misconfigured.fr[XX.XX.XX.XX]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL3 alert write:fatal:handshake failure
belette64 postfix/smtpd[145475]: SSL_accept:error in error
belette64 postfix/smtpd[145475]: SSL_accept error from smtp.misconfigured.fr[XX.XX.XX.XX]: -1
belette64 postfix/smtpd[145475]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2282:
belette64 postfix/smtpd[145475]: lost connection after STARTTLS from smtp.misconfigured.fr[XX.XX.XX.XX]
Responder1
Se você realmente quisesse contornar a negligência deles, poderia adicionarum servidor separado, ignorante de TLS. Tê-lofale apenas com uma lista de clientes conhecidos como ruins(conforme identificado por ehlo ou endereço) e torná-lo acessível apenas por meio de um registro MX de valor de prioridade mais alto ou firewall, para não reduzir a segurança de outros clientes.
Como isso é diferente de apenas smtp_tls_security_level=may?Isso permitirá que um cliente que não consiga estabelecer um canal seguro (após solicitá-lo com o MX principal) tenha uma segunda chance, onde não poderá repetir o erro porque o segundo servidor não anuncia STARTTLScapacidade.
Como fazer isso?Opublicar por meio de registro MX separadoa rota é mais segura porquemais ou menosvolta ao caso comum quando sua configuração de caso especial inevitavelmente fica obsoleta, mas apenas o redirecionamento de porta precisa de menos etapas para configurar:
- Duplique sua linha smtpd em
master.cf, com uma porta diferente e opções extras (marque as linhas de log, adicione um comentário para um futuro administrador entender por que isso foi feito):
smtp inet n - y - - smtpd
10025 inet n - y - - smtpd
-o syslog_name=postfix/smtpd/badstarttls
-o smtpd_tls_security_level=none
-o smtpd_helo_required=yes
-o smtpd_helo_restrictions=pcre:/etc/postfix/helo_badstarttls_allow.pcre,reject
- Redirecionar para uma porta diferente funciona via
-A PREROUTING .. -j REDIRECT --to-port ..iptables; ou em nftables:
tcp dport 25 ip protocol tcp ip saddr { XX.XX.XX.XX } redirect to :10025
Mas essa provavelmente não é a escolha mais fácil nem a certa.Quase todo mundo que envia e-mails está enviando e-mails quedeveser transportado com segurança. Se você trabalha em acomodações especiais para violar as melhores práticas, você se torna cúmplice disso.Faça com que eles consertem isso.
Se estiverem baseados na UE, terão até publicado um método de contato preferido para uma função chamadaOficial de proteção de dadosportanto, não será sua tarefa explicar a prioridade de eles consertarem sua configuração. Tudo o que você precisa fazer é notificá-los sobre o servidor não mantido que processa dados pessoais.
Responder2
Isso só deve ser definido como may. O TLS oportunista é o melhor que obteremos para e-mail por muito tempo.