starttls ohne ehlo/ESMTP erzwingen

[Klaus Tachtler]

Hallo wolfram

> telnet <ip> 25
> -> 220 TK-Server SMTP
> ehlo ich
> -> 500 Command unrecognized
> helo ich
> -> 250 TK-Server Hello x.x.x.x, pleased to meet you
> starttls
> -> 220 Ready to start TLS

Das bedeutet also, nach der HELO-Antwort des TK-Servers und dem Befehl  
STARTTLS kommt ein: 220 Ready to start TLS.

Evtl. wäre es einen Versuch wert, die Kommunikation mit dem TK-Server  
so zu gestalten, das nur verschlüsselt gesprochen werden darf - oder  
gar nicht - würde mich interessieren, ob dann ein STARTTLS im EHLO  
zwingend auftauchen muss:

Siehe auch nachfolgenden Link aus meinem DokuWiki, welches ich mal für  
mich erstellt habe:

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#tls-policies-konfiguration

Beispiel:
========


# openssl s_client -starttls smtp -connect TK-SERVER:25 < /dev/null  
2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=0E:25:49:B2:93:B3:A6:98:60:60:71:8C:F9:61:C7:EC:27:C0:8F:31

/etc/postfix/main.cf
smtp_tls_policy_maps = btree:/etc/postfix/smtp_tls_policy_maps

/etc/postfix/smtp_tls_policy_maps
TK-SERVER          fingerprint      
match=0E:25:49:B2:93:B3:A6:98:60:60:71:8C:F9:61:C7:EC:27:C0:8F:31

# postmap btree:/etc/postfix/smtp_tls_policy_maps

Einliefernden Postfix neu starten...


Siehe auch:
==========
http://www.postfix.org/TLS_README.html#client_tls_encrypt


Was passiert bei einer erzwungenen Verschlüsselung?


Grüße
Klaus.

-- 

--------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
--------------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20190228/1b5970b7/attachment.skr>