インバウンドSMTP接続での強制TLSはどの程度広くサポートされていますか？

標準のPostfix、SpamAssassin、ClamAV、SPF / DKIMチェックなどで構成されるMTAを実行します。このMTAは受信メールのみに使用され、アカウントをホストせず、上記のチェックに合格したメールを共有ウェブホストに転送します。

サーバーにメールを配信しようとすると、いくつかのメールサービスがプレーンテキストの前にTLS接続を試行し始めていることを認識しています。

私はすべてのサービスがTLSをサポートするわけではないことを理解していますが、それがどれほどうまく採用されているので、OCDのセキュリティ面を私の脳で満たすことができるのかと思っています（そうです、SSLはかつて思っていたほど安全ではありません。 ...）。

Postfixのドキュメントのためsmtpd_tls_security_levelと述べているRFC 2487布告は全て公に参照（すなわちMX）メールサーバがTLSを強制しないこと。

RFC 2487によれば、これは公的に参照されているSMTPサーバーの場合には適用してはなりません（MUST NOT）。したがって、このオプションはデフォルトでオフになっています。

したがって、ドキュメント（または15歳のRFC）はどのように適用可能/関連していますか？また、世界のISPの半分をロックアウトせずに、すべての受信SMTP接続で安全にTLSを強制できますか？

これは非常に複雑な質問であり、世界中のメールプロバイダーがメールサーバーの統計を簡単に提供できないためです。

自己診断

独自のサーバー/ドメインピアに基づいて質問への回答を判断するには、SSLログを有効にします。

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

これは、メールのsyslogメッセージをしばらく保存することを前提としています。そうでない場合は、syslogアーカイブ戦略を設定し、サーバーでのTLSの使用状況を要約するシェルスクリプトを記述します。おそらく、これを行うためのスクリプトがすでにあるでしょう。

すべてのピアがTLSをサポートし、暗号化とプロトコルの強度を強制的に適用できることに満足したら、情報に基づいた決定を行うことができます。環境はそれぞれ異なります。あなたのニーズを満たす答えはありません。

私自身の個人的な経験

それだけの価値があるので、私自身の個人用メールサーバーがTLSを適用しています。ほとんどのスパムボットはTLSをサポートしていないため、これにはネガティブな副作用があります。（その変更まで、私はS25R正規表現方法論に依存していました）

更新

私がこれに答えてから1年が経過し、TLSを強制的にオンにしてメールを受信して​​いた唯一の問題は、Blizzard（ペアレンタルコントロール）のフロントエンドWebサーバーとLinodeの管理システムからのものでした。私とやり取りする他のすべての人は、強力な暗号でTLSをサポートしているようです。

企業環境

企業環境では、TLSロギングを有効にして、TLSを適用する前にかなり長い時間実行することを強くお勧めします。tls_policyファイルで、特定のドメイン名にいつでもTLSを適用できます。

postconf -d smtp_tls_policy_maps

postfixサイトには、tlsポリシーマップの使用に関する優れたドキュメントがあります。ISPが最初のサーバー接続でTLSサポートを取り除こうとしても、機密情報を提供する特定のドメインが確実に暗号化されるようにすることができます。