Оппортунистический TLS для входящей корреспонденции с баннером SMTP маскированным
Существуют некоторые стандарты, которые Вы могли искать, например:
- MIL-STD-810 - "Стандарт метода тестирования министерства обороны для соображений инженерной защиты окружающей среды и лабораторных испытаний"
- Код IP (как упомянутый IP68)
Я думаю, здесь задаются два разных вопроса, поэтому я отвечу на них отдельно.
Вопрос 1 : Требуется ли отображение баннера SMTP без маски, чтобы другие почтовые серверы использовали TLS?
Ответ: Нет, приветственный баннер SMTP сам по себе не определяет право на использование TLS. Так что, если замаскирована ТОЛЬКО вещь, это не должно вызывать проблемы.
Вопрос 2 (перефразировано): Не мешает ли межсетевой экран входящим соединениям TLS?
Ответ: Скорее всего. Помимо маскировки приветственного баннера, служба проверки fixup / esmtp на брандмауэрах Cisco обычно принимает только определенные команды.
Я не уверен, какую версию / модель брандмауэра вы используете, но согласно этой технической заметке : Пакеты с недопустимыми командами преобразуются в шаблон «xxxx» и перенаправляется на сервер, что вызывает отрицательный ответ. Незаконный Команда ESMTP - это любая команда, кроме следующих:
AUTH
ДАННЫЕ
EHLO
ETRN
HELO
ПОМОГИТЕ
ПОМОГИТЕ
ПОЧТА
NOOP
УВОЛИТЬСЯ
RCPT
RSET
SAML
ОТПРАВИТЬ
SOML
VRFY
Когда внешние серверы подключаются и вводят команду SMTP ehlo , они видят список поддерживаемых служб / параметров SMTP. Предполагая, что они видят 250-STARTTLS , отправляющий сервер выдаст команду STARTTLS , чтобы начать попытку использования TLS. Вы заметите, что этой команды нет в списке команд выше.
Итак, я подозреваю, что ваш брандмауэр вмешивается, но не из-за приветствия баннера. Думаю, это блокирует / маскирует команду STARTTLS с удаленного почтового сервера.