Gmail gắn cờ email Dovecot không an toàn


9

Tôi nghĩ rằng tôi đã bảo mật thành công máy chủ email Postfix / Dovecot của mình. Tôi có chứng chỉ đã ký từ LetsEncrypt, hợp lệ cho tên miền của tôi.

Gửi và nhận hoạt động tốt, nhưng vì Gmail bắt đầu gắn cờ các email không an toàn, tất cả thư được gửi từ máy chủ của tôi được gắn cờ là không được mã hóa.

Người dùng Gmail thấy "Thông báo này không được mã hóa", như thế này:

nhập mô tả hình ảnh ở đây

Trong Postfix main.cf, trong số các cài đặt khác, tôi có:

# SASL, for SMTP authentication
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, for encryption
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

Trong Postfix master.cf, trong số các cài đặt khác, tôi có:

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

Trong Dovecot's 10-ssl.conf, trong số các cài đặt khác, tôi có:

ssl = required
ssl_ca = </etc/letsencrypt/live/mydomain.com/chain.pem
ssl_cert = </etc/letsencrypt/live/mydomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mydomain.com/privkey.pem

Là Gmail đánh dấu sai các chứng chỉ LetsEncrypt vì nó không tin tưởng chúng hoặc email của tôi thực sự được gửi không được mã hóa?


1
Xin vui lòng gửi Postfix main.cf. Bạn chưa bao gồm mọi thứ có liên quan trong đoạn trích của mình.
Michael Hampton

@MichaelHampton - điều chắc chắn. Tôi đã thêm tất cả nội dung tùy chỉnh của main.cf. Nó chỉ không bao gồm nội dung cơ bản như smtpd_banner, myhostnamevv
gavanon

Câu trả lời:


10

Tôi đã giải quyết điều này bằng cách thêm cả hai dòng này vào Postfix main.cf:

smtp_tls_security_level = may
smtpd_tls_security_level = may

(Tôi chỉ đặt ra smtpd_tls_security_levelvì một bài viết sai lệch cho biết tất cả các smtp_giá trị đã bị khấu hao theo hướng có lợi smtpd_.)


6

Email của bạn được gửi không được mã hóa. Nếu bạn chỉ muốn thử tốt nhất, hãy thêm những điều sau vào main.cf của bạn

smtp_tls_security_level = may

Để thực thi mã hóa TLS cho email được gửi tới google, hãy thêm mã này vào main.cf của bạn

# Force TLS for outgoing server connection
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/ 

thay thế / etc / postfix / rootcas / bằng vị trí của các CA gốc đáng tin cậy của bạn và trong tệp / etc / postfix / tls_policy add

#/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

điều này sẽ thực thi rằng email được gửi đến gmail.com., google.com và googlemail.com được gửi mã hóa và xác thực máy chủ SMTP

Nếu bạn không muốn xác thực và chỉ cần mã hóa (điều này là cần thiết cho các trang web có chứng chỉ không có thật), hãy sử dụng

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

trước khi khởi động lại postfix thực thi

postmap /etc/postfix/tls_policy

Cám ơn vì cái này. Điều tôi thực sự cố gắng làm là buộc TLS bất cứ khi nào có thể đến tất cả các điểm đến và an toàn quay lại không được mã hóa như là phương sách cuối cùng nếu đích đến không hỗ trợ. Điều này có thể mà không cần duy trì danh sách các tên miền cụ thể? Giống như một sự bắt buộc tất cả của TLS?
gavanon

Vấn đề là có nhiều máy chủ không hỗ trợ TLS và các máy chủ khác hỗ trợ nó và sử dụng chứng chỉ tự gán hoặc không có thật. Ngoài ra, STARTLS được gửi bằng văn bản rõ ràng, kẻ tấn công đang hoạt động có thể tước nó khi quá cảnh. Tôi đồng ý rằng giữ một bàn dài riêng biệt là giải pháp an toàn nhất nhưng không đáng tin cậy nhất
Jofre


Cảm ơn - phần đầu tiên trong câu trả lời của bạn rất hữu ích : smtp_tls_security_level = may. Đó là tất cả những gì được yêu cầu và phần còn lại của cài đặt dành riêng cho google là không cần thiết.
gavanon

5

Xem xét mối quan hệ máy khách / máy chủ liên quan đến SMTP và các cài đặt có ý nghĩa:

2.1. Cấu trúc cơ bản

Thiết kế SMTP có thể được hình dung như sau:

              +----------+                +----------+
  +------+    |          |                |          |
  | User |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commands/Replies| Server-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | File |<-->|          |    and Mail    |          |<-->| File |
  |System|    |          |                |          |    |System|
  +------+    +----------+                +----------+    +------+
               SMTP client                SMTP server

(Src: rfc5321.txt)

Như vậy:

"smtp_tls_security_level" dành cho ứng dụng khách Postfix SMTP. Xem: http://www.postfix.org/postconf.5.html#smtp_tls_security_level

"smtp d _tls_security_level" dành cho máy chủ Postfix SMTP Xem: http://www.postfix.org/postconf.5.html#smtpd_tls_security_level

Khi postfix đang chuyển thư sang gmail, cài đặt smtp_tls_security_level là cài đặt được liên kết.

Khi postfix đang nhận thư qua smtp, cài đặt smtp d _tls_security_level có liên quan.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.