smtpd_tls - Optionen

Florian florian at bodici.de
Di Jan 25 10:26:31 CET 2022


Hallo Sebastian,

ich frage mich gerade, was genau du Dir davon versprichst, keine 
unverschlüsselten Mails anzunehmen? Das Problem an unverschlüsselten 
Mails ist ja in erster Linie, dass sie nicht mitgelesen werden können. 
Sie tragen aber nicht zur Authentifizierung bei (dafür benötigst du dann 
SPF/DKIM/DMARC) und auch nicht zur Spamabwehr (hier würde ich rspamd 
empfehlen).

Viel wichtiger ist eigentlich, dass du sicherstellst, ausgehend eine 
bestmögliche Verschlüsselung anzubieten. Wenn du auf keinen Fall 
unverschlüsselt ausgehend senden willst, kannst du das deinem Postfix ja 
verbieten (wenn die Gegenseite kein oder nur unsicheres TLS anbietet). 
Ansonsten würde ich, wie Werner geschrieben hat, den smtp_tls_loglevel 
erhöhen und mal eine Weile beobachten, was da so reinkommt und ob du das 
haben willst.

Zu über 99% wird TLS 1.2 oder höher verwendet, aber es gibt auch noch 
ein paar größere Sender, die nur <= TLS 1.0 oder keine Verschlüsselung 
verwenden.

Viele Grüße,

Florian Vierke
Motto des Monats: Kopf hoch, bald ist wieder Sommer!

Am 25.01.2022 um 10:13 schrieb Werner Flamme:
> Am 25.01.22 um 09:40 schrieb sebastian at debianfan.de:
>> Die Sache mit dem "Spammer fernhalten" war nur so eine Nebenidee, aber
>> die Hauptfrage ist, ob man damit wirklich jemanden ausschliesst, wenn
>> man nur noch 'encrypt' anbietet ?
>>
>> Ich habe noch Logfiles der letzten 2 Jahre liegen - kann ich da
>> irgendwie auswerten, wer versucht hat, sich ohne Verschlüsselung zu
>> verbinden?
> Wenn Du "smtpd_tls_loglevel = 1" gesetzt hättest, müsste Dein Log
> zumindest verschlüsselte Verbindungen mit entsprechendem Text zeigen.
> Zum Beispiel
> ... postfix/smtpd ... Anonymous TLS connection established from
> hostname[ipaddress]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)
>
> Da ich nur internen Mailverkehr habe und keine unverschlüsselt sendenden
> Gegenstellen beteiligt sind, kann ich Dir nicht sagen, wie es zum
> Vergleich ohne TLS aussieht ;)
>
> Da Du aber ohnehin keine CAs vorgibst, die hinter den Zertifikaten
> stehen müssen, ist das eigentlich egal. Ein x-beliebiges
> (selbsterstelltes) Zertifikat reicht doch, um Verbindungen aufzubauen.
> Und ein geknacktes Mailkonto auf dem Desktop ist doch eh i.d.R. auf
> verschlüsselte Verbindungen konfiguriert - ich denke nicht, dass die
> Verschlüsselung dazu führt, dass Du weniger Spam annimmst. Maximal ein
> illegaler uralter Spambot auf einem Server würde abgewehrt, aber wie oft
> tritt das auf?
>
> Solange der RFC für Mailtransport nicht zwingend eine Verschlüsselung
> vorgibt, würde ich davon absehen, sowas einzuführen. Ich bin ja nicht
> Microsoft, die ihre eigenen Standards definieren und dann von der Welt
> erwarten, dass sie sich danach richtet.
>
> Gruß
> Werner
>
>>
>> Am 25.01.2022 um 09:29 schrieb Klaus Tachtler:
>>> Hallo Sebastian,
>>>
>>> wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch
>>> "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt
>>> Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als
>>> Spammer unterhalte.
>>>
>>> Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann
>>> der große Provider bestimmt auch "encrypt"?
>>>
>>>
>>> Grüße
>>> Klaus.
>>>
>>> ----- Nachricht von sebastian at debianfan.de ---------
>>>        Datum: Tue, 25 Jan 2022 09:15:20 +0100
>>>          Von: sebastian at debianfan.de
>>> Antwort an: Diskussionen und Support rund um Postfix
>>> <postfixbuch-users at listen.jpberlin.de>
>>>      Betreff: smtpd_tls - Optionen
>>>           An: Diskussionen und Support rund um Postfix
>>> <postfixbuch-users at listen.jpberlin.de>
>>>
>>>
>>>> Guten Morgen,
>>>>
>>>> so wie ich das verstanden habe, beeinflussen die Parameter:
>>>>
>>>> smtpd_tls_CAfile =
>>>> smtpd_tls_CApath =
>>>> smtpd_tls_always_issue_session_ids = yes
>>>> smtpd_tls_ask_ccert = no
>>>> smtpd_tls_auth_only = no
>>>> smtpd_tls_ccert_verifydepth = 9
>>>> smtpd_tls_cert_file =
>>>> /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem
>>>> smtpd_tls_chain_files =
>>>> smtpd_tls_ciphers = high
>>>> smtpd_tls_dcert_file =
>>>> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
>>>> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
>>>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file
>>>> smtpd_tls_eccert_file =
>>>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file
>>>> smtpd_tls_eecdh_grade = auto
>>>> smtpd_tls_exclude_ciphers =
>>>> smtpd_tls_fingerprint_digest = md5
>>>> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem
>>>> smtpd_tls_loglevel = 0
>>>> smtpd_tls_mandatory_ciphers = high
>>>> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
>>>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>>>> smtpd_tls_protocols = !SSLv2, !SSLv3
>>>> smtpd_tls_received_header = no
>>>> smtpd_tls_req_ccert = no
>>>> smtpd_tls_security_level = may
>>>> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
>>>> smtpd_tls_session_cache_timeout = 3600s
>>>> smtpd_tls_wrappermode = no
>>>>
>>>>
>>>> die Möglichkeiten von externen Mailservern, bei der Maschine hier
>>>> Mails abzugeben.
>>>>
>>>> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok,
>>>> aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden".
>>>>
>>>> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen -
>>>> oder gibt es noch 'größere relevante Versender', welche immer noch
>>>> unverschlüsselt senden ?
>>>>
>>>> Könnte man damit vielleicht auch Spam eindämmen ?
>>>>
>>>> gruß
>>>>
>>>> Sebastian
>>>
>>> ----- Ende der Nachricht von sebastian at debianfan.de -----
>>>
>>>
>>>


Mehr Informationen über die Mailingliste Postfixbuch-users