Вопросы Теги

SMTP Untrusted Соединение TLS по-прежнему отправляет электронные письма

При отправке почты от моего клиента через почтовый сервер, который затем использует AWS SES в качестве почтового ретранслятора, я вижу это в журнале постфиксов по мере прохождения каждого сообщения: 

smtp: Untrusted TLS connection established to email-smtp.us-west-1.amazonaws.com[13.57.144.53]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
smtp: D34E420866249C: to=<recipient@domain.tld>, relay=email-smtp.us-west-1.amazonaws.com[13.57.144.53]:587, delay=0.81, delays=0/0.11/0.52/0.17, dsn=2.0.0, status=sent (250 Ok 0111017774953167-f6df400f-aa87-43ab-8ca6-6c5534c50e17-000000)

Если соединение "ненадежный", но SES требует TLS (который настроен, хотя, возможно, неправильно) для безопасности, почему сообщения все еще отправляются.

Все работает ... Я просто удивлен, что это так.

Я следил за SES AWS с документами Postfix . Основное отличие моей настройки заключается в том, что я не мог использовать smtp_tls_security_level = encrypt , как было предложено, потому что это блокировало входящие smtpd транзакции. Установка обратно на smtp_tls_security_level = may получает почту, но журналы говорят, что smtp «ненадежный», даже если соединение кажется успешным?!? Не уверен, связаны ли они, но это все, что у меня есть.

Что-нибудь я могу исправить / улучшить?

0
задан 6 February 2021 в 02:34
1 ответ

В TLS термин «ненадежный» не то же самое, что «незашифрованный». Как видно из последующего шифра и надежности ключа в вашем журнале, связь зашифрована.

В TLS доверие относится к тому, как проверить, что используемые сертификаты действительно принадлежат объекту, который их представляет.
Вы по-прежнему можете использовать сертификат, если не подтвердите его или если проверка не удалась (если хотите).

————————

Руководство по postfix TLS: http://www.postfix.org/TLS_README.html отрывок:

Для проверки сертификата удаленного клиента SMTP , SMTP-сервер Postfix должен доверять сертификатам выдающих центров сертификации. Эти сертификаты в формате «PEM» могут храниться в одном $ smtpd_tls_CAfile или в нескольких файлах, по одному CA на файл в каталоге $ smtpd_tls_CApath . Если вы используете каталог, не забудьте создать необходимые "хеш-ссылки" с помощью: 

 # $ OPENSSL_HOME / bin / c_rehash / path / to / directory

$ smtpd_tls_CAfile содержит CA сертификаты одного или нескольких доверенных центров сертификации. Файл открывается (с правами root) до того, как Postfix входит в необязательную chroot-тюрьму, и поэтому нет необходимости быть доступным изнутри chroot-тюрьмы.

Дополнительные доверенные центры сертификации могут быть указаны через каталог $ smtpd_tls_CApath

3
ответ дан 24 April 2021 в 01:27

Теги

Похожие вопросы