GmailがDovecotメールに安全でないフラグを付ける


9

Postfix / Dovecot電子メールサーバーを無事に保護できたと思いました。私のドメインで有効なLetsEncryptからの署名付き証明書を持っています。

送受信は正常に機能しますが、Gmailが安全でないメールにフラグを付け始めたため、サーバーから送信されたすべてのメールに暗号化されていないフラグが付けられます。

Gmailユーザーには、次のように「このメッセージは暗号化されていません」と表示されます。

ここに画像の説明を入力してください

Postfixにmain.cfは、他の設定の中でも特に、

# SASL, for SMTP authentication
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, for encryption
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

Postfixにmaster.cfは、他の設定の中でも特に、

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

Dovecot's 10-ssl.confでは、他の設定の中でも特に、

ssl = required
ssl_ca = </etc/letsencrypt/live/mydomain.com/chain.pem
ssl_cert = </etc/letsencrypt/live/mydomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mydomain.com/privkey.pem

GmailはLetsEncrypt証明書を信頼していないため、誤ってフラグを立てていますか、それとも私のメールは暗号化されずに送信されていますか?


1
Postfixを投稿してくださいmain.cf。スニペットに関連するすべてのものが含まれていません。
マイケルハンプトン

@MichaelHampton-確かに。main.cfのすべてのカスタムコンテンツを追加しました。それだけ除外などの基本的なものsmtpd_bannermyhostnameなど、
gavanon

回答:


10

私はこれらの両方の行をPostfixに追加することでこれを解決しましたmain.cf

smtp_tls_security_level = may
smtpd_tls_security_level = may

(私はsmtpd_tls_security_levelすべてのsmtp_値がのために減価償却されたと言っている誤解を招く記事のために設定しただけですsmtpd_。)


6

メールは暗号化されずに送信されます。最善を尽くしたい場合は、以下をmain.cfに追加してください

smtp_tls_security_level = may

Googleに送信されるメールにTLS暗号化を適用するには、これをmain.cfに追加します

# Force TLS for outgoing server connection
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/ 

/ etc / postfix / rootcas /を信頼されたルートCAの場所に置き換え、/ etc / postfix / tls_policyファイルに追加します

#/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

これにより、gmail.com。、google.com、およびgooglemail.comに送信されるメールが暗号化されて送信され、SMTPサーバーが認証されます。

認証せずに暗号化するだけの場合(これは偽の証明書を持つサイトで必要です)を使用します。

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

Postfixを再起動する前に実行

postmap /etc/postfix/tls_policy

これをありがとう。私が本当にしようとしていることは、可能な限りすべての宛先にTLSを強制し、宛先がそれをサポートしていない場合の最後の手段としてのみ安全に非暗号化にフォールバックすることです。これは、特定のドメインのリストを維持していなくても可能ですか?TLSの包括的な強制のように?
gavanon

問題は、TLSをサポートしていないサーバーや、TLSをサポートしていて自己署名証明書や偽の証明書を使用しているサーバーがたくさんあることです。また、STARTLSはクリアテキストで送信されるため、アクティブな攻撃者は送信中にそれを取り除くことができます。個別の長いテーブルを保持することが最も安全ですが、最も信頼できるソリューションではないことに同意します
Jofre

一部のサイトで問題が発生しています。Postfix「Trusted TLS接続が確立されました」を
Jofre

ありがとう-回答の最初の部分は役に立ちました:smtp_tls_security_level = may。それだけで十分で、Google固有の設定の残りは必要ありませんでした。
gavanon

5

SMTPに関するクライアント/サーバーの関係を考慮してください。設定は意味があります。

2.1。基本構造

SMTPの設計は次のように表すことができます。

              +----------+                +----------+
  +------+    |          |                |          |
  | User |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commands/Replies| Server-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | File |<-->|          |    and Mail    |          |<-->| File |
  |System|    |          |                |          |    |System|
  +------+    +----------+                +----------+    +------+
               SMTP client                SMTP server

(ソース:rfc5321.txt)

したがって:

"smtp_tls_security_level"はPostfix SMTPクライアント用です。参照:http : //www.postfix.org/postconf.5.html#smtp_tls_security_level

「smtp d _tls_security_level」はPostfix SMTPサーバー用です。http://www.postfix.org/postconf.5.html#smtpd_tls_security_levelを参照してください

postfixがメールをgmailに転送している場合、smtp_tls_security_level設定が関連付けられた設定です。

postfixがsmtp経由でメールを受信している場合、smtp d _tls_security_level設定が関連します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.