Принуждение шифрования для исходящего SMTP с Постфиксом

smtp_tls_security_level = шифруют или smtp_enforce_tls=yes

Для определенных мест назначения Вы могли использовать smtp_tls_policy_maps

smtp_use_tls = да и smtp_enforce_tls=yes удерживаются от использования. С Постфиксом 2.3 и более позднее использование smtp_tls_security_level вместо этого.

Помните: Осуществление шифрования TLS могло вызвать проблемы доставки почты для хоста SMTP, которому не настроили TLS. Если сервер используется для поставки писем только внутреннему серверу с настроенным TLS, это не проблема в этом случае. Но если сервер используется для поставки почты общедоступным серверам, Вы не можете принять, что все серверы имеют поддержку TLS. В этом случае используйте smtp_tls_security_level =, может

Идея состоит в том, чтобы вынудить пользователей настроить свои почтовые клиенты с зашифрованным выходом smtp сервер. С текущим conf Thunderbird оставляет их опцией связаться с smtp сервером в простом тексте...

Вы не можете отключить опцию в Thunderbird, не перекомпилировав исходный код, но можно настроить постфикс stmpd демон (который получает почту от клиентов) осуществлять шифрование. Чтобы сделать это, используйте smtpd_tls_security_level=encrypt, который эквивалентен из устаревших опций smtpd_use_tls=yes и smtp_enforce_tls=yes. smtpd_tls_security_level=encrypt и smtp_enforce_tls=yes подразумевают smtpd_tls_auth_only=yes

Из постфиксной документации о smtpd_tls_security_level=encrypt

Обязательное шифрование TLS: объявите о поддержке STARTTLS клиентам SMTP и потребуйте, чтобы клиенты использовали шифрование TLS. Согласно RFC 2487 это не ДОЛЖНО быть применено в случае публично ссылаемого сервера SMTP. Вместо этого эта опция должна использоваться только на выделенных серверах.

При использовании общедоступного сервера Вы не можете осуществить почтовое шифрование на порте, 25/tcp. Лучшее решение, отключают доставку почты на постфиксом smtpd порт демона, 25/tcp от Ваших клиентов, и включают постфиксному демону представления (который является специальным постфиксом smtpd демон, используемый только для получения почты от Ваших локальных клиентов, описанных в работе RFC 4409 порта, 587/tcp). Чтобы сделать это, установите smtpd_tls_security_level=may и удалите permit_sasl_authenticated от smtpd_recipient_restrictions. В master.cf строка некомментария о демоне представления:

submission inet n       -       n       -       -   submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_recipient_resrictions=permit_sasl_authenticated,reject

Просто любопытный, как Вы говорите, что это не использует TLS? Значение по умолчанию для smtp_tls_loglevel (который отличается от smtpd_tls_loglevel) 0, так по умолчанию Вы ничего не будете видеть о согласовании TLS для исходящей почты в журналах Постфикса.

При установке smtp_tls_loglevel = 1 или выше необходимо видеть строку как это в журнале, когда сообщение отправляется:

7 марта 22:28:10 устанавливает postfix/smtp [27400] в стойку: инициализация клиентского механизма TLS

Я признаю, что я ленив, но кроме того (и примечания мс выше) конфигурация выглядит хорошо мне сразу.