При отправке почты от моего клиента через почтовый сервер, который затем использует AWS SES в качестве почтового ретранслятора, я вижу это в журнале постфиксов по мере прохождения каждого сообщения:
smtp: Untrusted TLS connection established to email-smtp.us-west-1.amazonaws.com[13.57.144.53]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
smtp: D34E420866249C: to=<recipient@domain.tld>, relay=email-smtp.us-west-1.amazonaws.com[13.57.144.53]:587, delay=0.81, delays=0/0.11/0.52/0.17, dsn=2.0.0, status=sent (250 Ok 0111017774953167-f6df400f-aa87-43ab-8ca6-6c5534c50e17-000000)
Если соединение "ненадежный", но SES требует TLS (который настроен, хотя, возможно, неправильно) для безопасности, почему сообщения все еще отправляются.
Все работает ... Я просто удивлен, что это так.
Я следил за SES AWS с документами Postfix . Основное отличие моей настройки заключается в том, что я не мог использовать smtp_tls_security_level = encrypt
, как было предложено, потому что это блокировало входящие smtpd
транзакции. Установка обратно на smtp_tls_security_level = may
получает почту, но журналы говорят, что smtp «ненадежный», даже если соединение кажется успешным?!? Не уверен, связаны ли они, но это все, что у меня есть.
Что-нибудь я могу исправить / улучшить?
В TLS термин «ненадежный» не то же самое, что «незашифрованный». Как видно из последующего шифра и надежности ключа в вашем журнале, связь зашифрована.
В TLS доверие относится к тому, как проверить, что используемые сертификаты действительно принадлежат объекту, который их представляет.
Вы по-прежнему можете использовать сертификат, если не подтвердите его или если проверка не удалась (если хотите).
————————
Руководство по postfix TLS: http://www.postfix.org/TLS_README.html отрывок:
Для проверки сертификата удаленного клиента SMTP , SMTP-сервер Postfix должен доверять сертификатам выдающих центров сертификации. Эти сертификаты в формате «PEM» могут храниться в одном $
smtpd_tls_CAfile
или в нескольких файлах, по одному CA на файл в каталоге $smtpd_tls_CApath
. Если вы используете каталог, не забудьте создать необходимые "хеш-ссылки" с помощью:
# $ OPENSSL_HOME / bin / c_rehash / path / to / directory
$ smtpd_tls_CAfile содержит CA сертификаты одного или нескольких доверенных центров сертификации. Файл открывается (с правами root) до того, как Postfix входит в необязательную chroot-тюрьму, и поэтому нет необходимости быть доступным изнутри chroot-тюрьмы.
Дополнительные доверенные центры сертификации могут быть указаны через каталог $ smtpd_tls_CApath