TLS được hỗ trợ rộng rãi như thế nào trên các kết nối SMTP gửi đến?

Tôi chạy một MTA bao gồm các kiểm tra Postfix, SpamAssassin, ClamAV, SPF / DKIM tiêu chuẩn, v.v. MTA này chỉ được sử dụng cho email gửi đến, không lưu trữ bất kỳ tài khoản nào và chuyển tiếp bất kỳ thư nào chuyển qua kiểm tra cho một webhost được chia sẻ.

Tôi biết rằng một vài dịch vụ email đang bắt đầu thử kết nối TLS trước văn bản thuần khi cố gửi thư đến máy chủ của tôi.

Tôi nhận ra rằng không phải tất cả các dịch vụ đều hỗ trợ TLS, nhưng tôi tự hỏi nó được áp dụng tốt đến mức nào để tôi có thể đáp ứng khía cạnh bảo mật OCD trong não của tôi (vâng, tôi biết SSL không an toàn như chúng ta từng nghĩ ...).

Các tài liệu Postfix cho smtpd_tls_security_leveltiểu bang mà RFC 2487 nghị định rằng tất cả công khai tham chiếu (tức là MX) mailservers không buộc TLS:

Theo RFC 2487, điều này KHÔNG PHẢI được áp dụng trong trường hợp máy chủ SMTP được tham chiếu công khai. Do đó, tùy chọn này được tắt theo mặc định.

Vì vậy: Tài liệu có thể áp dụng / có liên quan như thế nào (hoặc RFC 15 tuổi cho vấn đề đó) và tôi có thể buộc TLS an toàn trên tất cả các kết nối SMTP gửi đến mà không khóa một nửa ISP của thế giới không?

Đây là một câu hỏi rất phức tạp được đưa ra rằng các nhà cung cấp thư trên thế giới không dễ dàng cung cấp số liệu thống kê trên các máy chủ thư của họ.

Tự chẩn đoán

Để xác định câu trả lời cho câu hỏi của bạn dựa trên các máy chủ / máy chủ tên miền của riêng bạn, bạn có thể bật ghi nhật ký SSL:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Điều này giả định rằng bạn lưu thư syslog thư của bạn trong một thời gian. Nếu không, có lẽ thiết lập chiến lược lưu trữ syslog và viết tập lệnh shell để tóm tắt việc sử dụng TLS trên máy chủ của bạn. Có lẽ đã có kịch bản để làm điều này.

Khi bạn cảm thấy thoải mái khi tất cả các đồng nghiệp của mình hỗ trợ TLS và ở cường độ mật mã và giao thức mà bạn sẵn sàng thực thi, thì bạn có thể đưa ra quyết định sáng suốt. Mỗi môi trường là khác nhau. Không có một câu trả lời sẽ đáp ứng nhu cầu của bạn.

Kinh nghiệm cá nhân của riêng tôi

Đối với những gì nó có giá trị, máy chủ thư cá nhân của tôi thực thi TLS. Điều này có một tác dụng phụ buồn cười là phủ nhận hầu hết các bot spam, vì hầu hết chúng không hỗ trợ TLS. (Cho đến khi thay đổi, tôi đã dựa vào phương pháp regrec S25R)

Cập nhật

Đã một năm kể từ khi tôi trả lời vấn đề này và vấn đề duy nhất tôi gặp phải khi nhận được email với TLS là từ các máy chủ web mặt trước tại Blizzard (kiểm soát của phụ huynh) và hệ thống quản lý của Linode. Mọi người khác tôi tương tác xuất hiện để hỗ trợ TLS với mật mã mạnh chỉ tốt.

Môi trường doanh nghiệp

Trong môi trường doanh nghiệp, tôi đặc biệt khuyến khích bạn kích hoạt ghi nhật ký TLS và để hoạt động đó diễn ra khá lâu trước khi thực thi TLS. Bạn luôn có thể thực thi TLS cho các tên miền cụ thể trong tệp tls_policy.

postconf -d smtp_tls_policy_maps

Trang web postfix có một số tài liệu tuyệt vời về việc sử dụng bản đồ chính sách tls. Ít nhất bạn có thể đảm bảo rằng các tên miền cụ thể cung cấp thông tin nhạy cảm được mã hóa ngay cả khi ISP cố gắng loại bỏ hỗ trợ TLS trong kết nối máy chủ ban đầu.