那些遇到过的问题

为特定客户端禁用 Postfix 服务器 TLS

Adr*_*erc 4 ssl postfix

我遇到了一些糟糕的服务器试图向我发送一些我迫切需要的电子邮件的麻烦。

发件人总是请求 STARTTLS,但之后无法建立 TLS(我的服务器支持的 v1.2+)连接。据推测,它会将未加密的邮件传送到未宣布该功能的邮件服务器。

我可以使用 全局禁用 TLS smtpd_tls_security_level,但它真的很糟糕,所以我想找到一个设置,仅对尝试联系我的远程服务器的给定列表禁用它。

甚至有可能吗?

编辑:这是来自 Postfix 的日志smtpd_tls_loglevel = 2

belette64 postfix/smtpd[145475]: connect from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: setting up TLS connection from smtp.misconfigured.fr[XX.XX.XX.XX]
belette64 postfix/smtpd[145475]: smtp.misconfigured.fr[XX.XX.XX.XX]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH"
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL_accept:before SSL initialization
belette64 postfix/smtpd[145475]: SSL3 alert write:fatal:handshake failure
belette64 postfix/smtpd[145475]: SSL_accept:error in error
belette64 postfix/smtpd[145475]: SSL_accept error from smtp.misconfigured.fr[XX.XX.XX.XX]: -1
belette64 postfix/smtpd[145475]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2282:
belette64 postfix/smtpd[145475]: lost connection after STARTTLS from smtp.misconfigured.fr[XX.XX.XX.XX]
Run Code Online (Sandbox Code Playgroud)

anx*_*anx 5

如果你真的想解决他们的疏忽,你可以添加一个单独的 TLS-ignorant server。让它只与已知坏客户端列表(由 ehlo 或地址标识)对话,并且只能通过更高优先级值的 MX 记录或防火墙访问它,以免降低其他客户端的安全性。

这与仅仅有smtp_tls_security_level=may什么不同?它将允许客户端未能建立安全通道(在向主 MX 请求之后)第二次机会,因为第二个服务器没有宣布STARTTLS能力,所以它不能重复错误。

怎么做?通过单独的MX记录发布途径是更安全,因为它或多或少地回落到普通情况下,当你的特殊情况下的配置不可避免地要过时,只是端口重定向您端需要更少的步骤设置:

  1. 复制你的 smtpd 行master.cf,使用不同的端口和额外的选项(标记日志行,为未来的管理员添加评论以了解为什么这样做):
smtp       inet  n       -       y       -       -       smtpd
10025      inet  n       -       y       -       -       smtpd
 -o syslog_name=postfix/smtpd/badstarttls
 -o smtpd_tls_security_level=none
 -o smtpd_helo_required=yes
 -o smtpd_helo_restrictions=pcre:/etc/postfix/helo_badstarttls_allow.pcre,reject
Run Code Online (Sandbox Code Playgroud)
  1. 通过-A PREROUTING .. -j REDIRECT --to-port ..iptables重定向到不同的端口;或在 nftables 中:
tcp dport 25 ip protocol tcp ip saddr { XX.XX.XX.XX } redirect to :10025
Run Code Online (Sandbox Code Playgroud)

但这可能既不是最简单的选择,也不是正确的选择。几乎所有发送邮件的人都在发送应该安全传输的邮件。如果您为打破最佳实践而从事特殊便利,您就会成为其中的同谋。让他们来修复它。

如果他们位于欧盟,他们甚至会为称为数据保护官的角色发布首选联系方式,因此您无需解释他们修复设置的优先级。您所要做的就是通知他们未维护的服务器正在处理个人数据。

归档时间:

查看次数:

812 次

最近记录:

5 年 前
相关归档
阻止 apache 每次重新启动时要求输入 SSL 密码 46
无法使用 Java 1.7 keytool 实用程序生成具有主题备用名称的证书 14
Postfix:某些电子邮件地址的自定义拒绝消息 9
我的邮件服务器必须要有 ssl 证书吗? 8
如何阻止来自 postmaster@mydomain.com 的外部邮件? 6
如何使用 Let's Encrypt (letsencrypt.org) 作为免费的 SSL 证书提供商? 5
如何在 IIS 中将某些站点从 HTTP 重定向到 HTTPS 5
在 Maildir 中检测未读邮件 4
由于地址无效,Postfix 拒绝发送具有多个目的地的电子邮件 4
将 VPS 迁移到同一台机器而不会丢失电子邮件 1
难疑归档
从私钥创建公共 SSH 密钥? 245
free 输出中缓冲区/缓存行的含义 189
如何在 Linux 上设置无密码的 `sudo`? 186
我应该为 openvpn 使用 tap 还是 tun? 104
如何过滤Wireshark中的http流量? 98
设置了“client_max_body_size”的 Nginx 中的“413 请求实体太大” 91
如何通过看起来像文本的二进制文件进行 grep? 76
如何显示mysql锁? 73
如何更改已创建的 MySQL 用户的权限? 71
如何正确设置 NFS 文件夹的权限?安装端的权限被拒绝。 59