Dans quelle mesure TLS forcé est-il largement pris en charge sur les connexions SMTP entrantes?

J'exécute un MTA composé des vérifications Postfix, SpamAssassin, ClamAV, SPF / DKIM standard, etc.

Je suis conscient que certains services de messagerie commencent à tenter des connexions TLS avant le texte brut lors de la tentative de remise de courrier à mon serveur.

Je me rends compte que tous les services ne prendront pas en charge TLS, mais je me demande à quel point il est bien adopté pour que je puisse satisfaire le côté sécurité OCD de mon cerveau (oui, je sais que SSL n'est pas aussi sécurisé que nous le pensions autrefois) ...).

La documentation de Postfix pour les smtpd_tls_security_levelÉtats que RFC 2487 décrets que tous (c. -à- MX) mailservers publics référencés ne contraignez pas TLS:

Selon la RFC 2487, cela NE DOIT PAS être appliqué dans le cas d'un serveur SMTP référencé publiquement. Cette option est donc désactivée par défaut.

Donc: dans quelle mesure la documentation est-elle applicable / pertinente (ou le RFC vieux de 15 ans), et puis-je forcer TLS sur toutes les connexions SMTP entrantes en toute sécurité sans verrouiller la moitié des FAI du monde?

C'est une question très compliquée étant donné que les fournisseurs de messagerie du monde ne fournissent pas facilement des statistiques sur leurs serveurs de messagerie.

Auto-diagnostic

Pour déterminer la réponse à votre question en fonction de vos propres serveurs / homologues de domaine, vous pouvez activer la journalisation SSL:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Cela suppose que vous enregistrez vos messages Syslog de messagerie pendant un certain temps. Sinon, définissez peut-être une stratégie d'archivage Syslog et écrivez un script shell pour résumer l'utilisation de TLS sur votre serveur. Peut-être existe-t-il déjà un script pour le faire.

Une fois que vous êtes sûr que tous vos pairs prennent en charge TLS et à la force de chiffrement et de protocole que vous êtes prêt à appliquer, vous pouvez alors prendre une décision éclairée. Chaque environnement est différent. Il n'y a pas de réponse unique qui répondra à vos besoins.

Ma propre expérience personnelle

Pour ce que ça vaut, mon propre serveur de messagerie personnel applique TLS. Cela a un effet secondaire amusant de nier la plupart des robots de spam, car la plupart d'entre eux ne prennent pas en charge TLS. (Jusqu'à ce changement, je comptais sur la méthodologie d'expression régulière S25R)

Mettre à jour

Cela fait un an que je n'ai pas répondu et le seul problème que j'ai eu à recevoir des e-mails avec TLS forcé était des serveurs Web frontaux de Blizzard (contrôle parental) et du système de gestion de Linode. Tous les autres avec qui j'interagis semblent prendre en charge TLS avec des chiffres forts très bien.

Environnement d'entreprise

Dans un environnement d'entreprise, je vous encourage fortement à activer la journalisation TLS et à la laisser fonctionner assez longtemps avant d'appliquer TLS. Vous pouvez toujours appliquer TLS pour des noms de domaine spécifiques dans le fichier tls_policy.

postconf -d smtp_tls_policy_maps

Le site postfix contient une excellente documentation sur l'utilisation des cartes de politique tls. Vous pouvez au moins vous assurer que des domaines spécifiques qui fournissent des informations sensibles sont chiffrés même si un FAI essaie de supprimer la prise en charge TLS dans la connexion de serveur initiale.