smtpd_tls - Optionen

Werner Flamme w.flamme at web.de
Di Jan 25 10:13:45 CET 2022


Am 25.01.22 um 09:40 schrieb sebastian at debianfan.de:
> Die Sache mit dem "Spammer fernhalten" war nur so eine Nebenidee, aber
> die Hauptfrage ist, ob man damit wirklich jemanden ausschliesst, wenn
> man nur noch 'encrypt' anbietet ?
>
> Ich habe noch Logfiles der letzten 2 Jahre liegen - kann ich da
> irgendwie auswerten, wer versucht hat, sich ohne Verschlüsselung zu
> verbinden?

Wenn Du "smtpd_tls_loglevel = 1" gesetzt hättest, müsste Dein Log
zumindest verschlüsselte Verbindungen mit entsprechendem Text zeigen.
Zum Beispiel
... postfix/smtpd ... Anonymous TLS connection established from
hostname[ipaddress]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

Da ich nur internen Mailverkehr habe und keine unverschlüsselt sendenden
Gegenstellen beteiligt sind, kann ich Dir nicht sagen, wie es zum
Vergleich ohne TLS aussieht ;)

Da Du aber ohnehin keine CAs vorgibst, die hinter den Zertifikaten
stehen müssen, ist das eigentlich egal. Ein x-beliebiges
(selbsterstelltes) Zertifikat reicht doch, um Verbindungen aufzubauen.
Und ein geknacktes Mailkonto auf dem Desktop ist doch eh i.d.R. auf
verschlüsselte Verbindungen konfiguriert - ich denke nicht, dass die
Verschlüsselung dazu führt, dass Du weniger Spam annimmst. Maximal ein
illegaler uralter Spambot auf einem Server würde abgewehrt, aber wie oft
tritt das auf?

Solange der RFC für Mailtransport nicht zwingend eine Verschlüsselung
vorgibt, würde ich davon absehen, sowas einzuführen. Ich bin ja nicht
Microsoft, die ihre eigenen Standards definieren und dann von der Welt
erwarten, dass sie sich danach richtet.

Gruß
Werner

>
>
> Am 25.01.2022 um 09:29 schrieb Klaus Tachtler:
>>
>> Hallo Sebastian,
>>
>> wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch
>> "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt
>> Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als
>> Spammer unterhalte.
>>
>> Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann
>> der große Provider bestimmt auch "encrypt"?
>>
>>
>> Grüße
>> Klaus.
>>
>> ----- Nachricht von sebastian at debianfan.de ---------
>>       Datum: Tue, 25 Jan 2022 09:15:20 +0100
>>         Von: sebastian at debianfan.de
>> Antwort an: Diskussionen und Support rund um Postfix
>> <postfixbuch-users at listen.jpberlin.de>
>>     Betreff: smtpd_tls - Optionen
>>          An: Diskussionen und Support rund um Postfix
>> <postfixbuch-users at listen.jpberlin.de>
>>
>>
>>> Guten Morgen,
>>>
>>> so wie ich das verstanden habe, beeinflussen die Parameter:
>>>
>>> smtpd_tls_CAfile =
>>> smtpd_tls_CApath =
>>> smtpd_tls_always_issue_session_ids = yes
>>> smtpd_tls_ask_ccert = no
>>> smtpd_tls_auth_only = no
>>> smtpd_tls_ccert_verifydepth = 9
>>> smtpd_tls_cert_file =
>>> /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem
>>> smtpd_tls_chain_files =
>>> smtpd_tls_ciphers = high
>>> smtpd_tls_dcert_file =
>>> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
>>> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
>>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
>>> smtpd_tls_eccert_file =
>>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
>>> smtpd_tls_eecdh_grade = auto
>>> smtpd_tls_exclude_ciphers =
>>> smtpd_tls_fingerprint_digest = md5
>>> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem
>>> smtpd_tls_loglevel = 0
>>> smtpd_tls_mandatory_ciphers = high
>>> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
>>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>>> smtpd_tls_protocols = !SSLv2, !SSLv3
>>> smtpd_tls_received_header = no
>>> smtpd_tls_req_ccert = no
>>> smtpd_tls_security_level = may
>>> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
>>> smtpd_tls_session_cache_timeout = 3600s
>>> smtpd_tls_wrappermode = no
>>>
>>>
>>> die Möglichkeiten von externen Mailservern, bei der Maschine hier
>>> Mails abzugeben.
>>>
>>> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok,
>>> aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden".
>>>
>>> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen -
>>> oder gibt es noch 'größere relevante Versender', welche immer noch
>>> unverschlüsselt senden ?
>>>
>>> Könnte man damit vielleicht auch Spam eindämmen ?
>>>
>>> gruß
>>>
>>> Sebastian
>>
>>
>> ----- Ende der Nachricht von sebastian at debianfan.de -----
>>
>>
>>



Mehr Informationen über die Mailingliste Postfixbuch-users