Gmail gắn cờ email Dovecot không an toàn

Tôi nghĩ rằng tôi đã bảo mật thành công máy chủ email Postfix / Dovecot của mình. Tôi có chứng chỉ đã ký từ LetsEncrypt, hợp lệ cho tên miền của tôi.

Gửi và nhận hoạt động tốt, nhưng vì Gmail bắt đầu gắn cờ các email không an toàn, tất cả thư được gửi từ máy chủ của tôi được gắn cờ là không được mã hóa.

Người dùng Gmail thấy "Thông báo này không được mã hóa", như thế này:

Trong Postfix main.cf, trong số các cài đặt khác, tôi có:

# SASL, for SMTP authentication
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, for encryption
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

Trong Postfix master.cf, trong số các cài đặt khác, tôi có:

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

Trong Dovecot's 10-ssl.conf, trong số các cài đặt khác, tôi có:

ssl = required
ssl_ca = </etc/letsencrypt/live/mydomain.com/chain.pem
ssl_cert = </etc/letsencrypt/live/mydomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mydomain.com/privkey.pem

Là Gmail đánh dấu sai các chứng chỉ LetsEncrypt vì nó không tin tưởng chúng hoặc email của tôi thực sự được gửi không được mã hóa?

Tôi đã giải quyết điều này bằng cách thêm cả hai dòng này vào Postfix main.cf:

smtp_tls_security_level = may
smtpd_tls_security_level = may

(Tôi chỉ đặt ra smtpd_tls_security_levelvì một bài viết sai lệch cho biết tất cả các smtp_giá trị đã bị khấu hao theo hướng có lợi smtpd_.)

Email của bạn được gửi không được mã hóa. Nếu bạn chỉ muốn thử tốt nhất, hãy thêm những điều sau vào main.cf của bạn

smtp_tls_security_level = may

Để thực thi mã hóa TLS cho email được gửi tới google, hãy thêm mã này vào main.cf của bạn

# Force TLS for outgoing server connection
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/ 

thay thế / etc / postfix / rootcas / bằng vị trí của các CA gốc đáng tin cậy của bạn và trong tệp / etc / postfix / tls_policy add

#/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

điều này sẽ thực thi rằng email được gửi đến gmail.com., google.com và googlemail.com được gửi mã hóa và xác thực máy chủ SMTP

Nếu bạn không muốn xác thực và chỉ cần mã hóa (điều này là cần thiết cho các trang web có chứng chỉ không có thật), hãy sử dụng

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

trước khi khởi động lại postfix thực thi

postmap /etc/postfix/tls_policy

Xem xét mối quan hệ máy khách / máy chủ liên quan đến SMTP và các cài đặt có ý nghĩa:

2.1. Cấu trúc cơ bản

Thiết kế SMTP có thể được hình dung như sau:

              +----------+                +----------+
  +------+    |          |                |          |
  | User |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commands/Replies| Server-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | File |<-->|          |    and Mail    |          |<-->| File |
  |System|    |          |                |          |    |System|
  +------+    +----------+                +----------+    +------+
               SMTP client                SMTP server

(Src: rfc5321.txt)

Như vậy:

"smtp_tls_security_level" dành cho ứng dụng khách Postfix SMTP. Xem: http://www.postfix.org/postconf.5.html#smtp_tls_security_level

"smtp d _tls_security_level" dành cho máy chủ Postfix SMTP Xem: http://www.postfix.org/postconf.5.html#smtpd_tls_security_level

Khi postfix đang chuyển thư sang gmail, cài đặt smtp_tls_security_level là cài đặt được liên kết.

Khi postfix đang nhận thư qua smtp, cài đặt smtp d _tls_security_level có liên quan.