Недавно я перенес свой основной почтовый сервер на новый. Старый проработал почти 10 лет и был рабочим сервером для примерно 20 доменов и более 40 почтовых ящиков.
Все прошло хорошо, и конфигурация не сильно отличается от старой, хотя postfix и dovecot более новые.
Одна из проблем, с которой я столкнулся, заключается в том, что необходимо включить хотя бы TLSv1.1 по соображениям совместимости. В журналах я вижу много ошибок соединения, связанных с TLS, и у меня есть упрямый клиент, который использует Apple Mail в El Capitain, который не поддерживает TLSv1.2.
Мне нужно, чтобы это было включено как минимум на год, чтобы дать время для обновлений. Проблема в том, что независимо от того, что я указываю в postfix main.cf, он будет обслуживать только TLSv1.2 и выше.
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
и
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
но если я тестирую с помощью testssl.sh я всегда получаю
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 offered (OK)
TLS 1.3 offered (OK): final
на порту 25, отправка или smtps. Есть ли что-то, что я упустил на centos8, чтобы включить TLSv1.1?
Редактировать: Если я укажу это для smptd
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
Результат тестирования:
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 not offered
TLS 1.3 offered (OK): final
Так теперь он отключает TLSv2? Я что-то не так делаю в файле конфигурации? Я знаю, что синтаксис изменился в 3.6, но этот тоже должен работать.
решение1
@moray попробуйте установить политику шифрования CentOS на LEGACY:
update-crypto-policies --set LEGACY
Что касается статьи RedHat, то это включает TLSv1.0 / TLSv1.1. После настройки просто перезапустите ваш postfix, и ваши письма будут доставлены.