Gmail — предупреждение о шифровании

[J_o_k_e_R]

Я рекоменду, основываясь на рекомендациях mozilla делать так:
main.cf:
`
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

tls_high_cipherlist = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
`

Так Вы еще оставите самые надежные алгоритмы.

[AlexPetroff]

Спасибо, добавил в текст. Есть ли ссылка на mozilla — сам не нашел

А smtpd_* отвечает, как я понял, за подключение клиентов для отправки писем

[ZiNk]

Нет, smtp — это универсальный протокол отправки писем. Как с от MUA к MTA так и от MTA к MTA, так что эта настройка отвечает за всё.

[AlexPetroff]

Я не про протокол, а настройки postfix — так вот параметры smtpd_* отвечают за подключения клиентов, которые хотят отправить письма.

Или я что-то не так понял?

[ZiNk]

А чем по вашему отличается подключение почтового клиента (скажем, Thunderbird) для отправки письма к порту 25 от подключения другого сервера к порту 25 для, так же, отправки письма?

[AlexPetroff]

При отправке письма через Thunderbird — сначала он соединяется с моим postfix — за это отвечают настройки smtpd_*, затем уже postfix соединяется с сервером google — за это отвечает smtp_*

[J_o_k_e_R]

Правильно, да не совсем.
smtp — это настройки роли клиента для Вашего сервера. То есть когда Ваш сервер подключается к другим серверам.

smtpd — это настройки роли сервера для Вашего сервера. То есть когда к нему подключаются клиенты или другие сервера.

Рекомедации по настройке TLS от mozilla

[sisaenkov]

Заметил, что при отключении SSLv3 перестаёт работать дефолтный почтовый клиент в iOS на защищенных портах.

[Akuma]

А на пользотелях это как-то скажется? Имею ввиду, если человек использует какой-нибудь древний десктопный The Bat (например), он письма то читать сможет?

[AlexPetroff]

Вы в таком же заблуждении находитесь что и я сначала — данное предупреждение не имеет ни какого отношения к шифрованию самих писем. Предупреждение означает что почтовый сервер отправителя при отправке письма с сервером Google связывался не по безопасному протоколу

[Hithroc]

Как раз сегодня, буквально пару часов назад, гуглил по этому вопросу, большое спасибо!

[alexyr]

Странно, у меня до добавления этих строчек уже были такие параметры в отправленных письмах:

до:
Received: from…
by smtp.gmail.com with ESMTPSA id i1sm28855225wjs.45.2016.02.15.23.50.17
for ххх@gmail.com
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);

после:
Received: from…
by smtp.gmail.com with ESMTPSA id t205sm19360378wmt.23.2016.02.16.00.24.17
for ххх@gmail.com
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);

[AlexPetroff]

А у Вас не релей на google стоит?

Потому как у меня by mx.google.com with ESMTP, а у Вас by smtp.gmail.com with ESMTPSA

[alexyr]

да, исходящие идут через мой gmail account

[AlexPetroff]

Так у Вас значит и не было предупреждения о шифровании. А подключиться к gmail для отправки почты уже давно без шифрования нельзя

[alexyr]

Вы правы, не было. Но настройку оставлю, может в будущем пригодится!

[AlexPetroff]

Тогда у параметра tls_high_cipherlist — поставьте себе отметку, как подойдет время список может поменяться, а какие-то алгоритмы окажутся скомпрометированными

[alexyr]

Что будет если его (и только его) пока закомментить? Откуда postfix будет брать алгоритмы?

[AlexPetroff]

Дальше идут уже мои догадки: при установке соединения будет предложен алгоритм принимающей стороной и если у postfix не будет списка разрешенного к использованию — он примет этот алгоритм, хотя он может быть уже скомпрометированным

[ComodoHacker]

Спасибо, только вот формулировка "для убирания предупреждения" оставляет осадок. Ведь цель этой инициативы вполне благая, это не просто дурь почти-монополиста. Жаль, что не все понимают.

[AlexPetroff]

Поправился

[AlexPetroff]

Даже вот так бывает:

[dmbarsukov]

а если postfix используется в качестве релея — он будет отправлять сообщения по шифрованному каналу при таких настройках? Добавление и перезапуск демона пока ничего не изменило.

[AlexPetroff]

Надо смотреть настройки релея, потому как в этом случае сам postfix ничего не отправляет, а соединяется с релеем для отправки — а как соединяется уже надо смотреть. Как писал выше — google, например, давно не дает подключиться к нему без TLS

[dmbarsukov]

нене, сам постфикс является релеем для сервера Exchange, который отправляет через него письма. И настройка TLS на постфиксе не срабатывает — канал наружу не начинает шифроваться.

[AlexPetroff]

А покажите заголовки письма, если не я — так может кто другой подскажет

[dmbarsukov]

```htmlDelivered-To: xxxx@gmail.com
Received: by 10.107.4.138 with SMTP id 132csp705565ioe;
Tue, 16 Feb 2016 03:41:52 -0800 (PST)
X-Received: by 10.25.148.208 with SMTP id w199mr9490462lfd.124.1455622912405;
Tue, 16 Feb 2016 03:41:52 -0800 (PST)
Return-Path: d_b@norma.ru
Received: from pm-mta1.dnstechserver.ru (pm-mta1.dnstechserver.ru. [91.224.126.165])
by mx.google.com with ESMTP id j69si1463188lfg.160.2016.02.16.03.41.51
for xxxx@gmail.com;
Tue, 16 Feb 2016 03:41:52 -0800 (PST)
Received-SPF: pass (google.com: domain of d_b@norma.ru designates 91.224.126.165 as permitted sender) client-ip=91.224.126.165;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of d_b@norma.ru designates 91.224.126.165 as permitted sender) smtp.mailfrom=d_b@norma.ru
Received: from pm-ht-nlb1.sm.local (pm-ht-nlb1.sm.local [192.168.2.249])
by pm-mta1.dnstechserver.ru (Postfix) with ESMTPS id C218C120311
for xxxx@gmail.com; Tue, 16 Feb 2016 14:41:19 +0300 (MSK)

[AlexPetroff]

Не очень понятно, честно говоря, если вот это Ваш сервер о котором идет речь:
pm-mta1.dnstechserver.ru (pm-mta1.dnstechserver.ru. [91.224.126.165])

то по идее должно работать. Надо значит mail логи смотреть и конфиг постфикса

[dmbarsukov]

отловил проблему. Как всегда она очевидна и от невнимательности. в конфиге была строчка smtpd_use_tls = yes
я ее оставил, однако необходимо дополнительно добавить на исходящее подключение рядом smtp_use_tls = yes


для отлова помогает smtpd_tls_loglevel = 2 и smtp_tls_loglevel = 2. Двоечки тут достаточно.

[AlexPetroff]

Да, я как раз в ветке выше поспорил про smtp_* и smtpd_*

[AlexPetroff]

Вот это место меня смущает из лога по двум причинам:

relay=alt4.gmail-smtp-in.l.google.com[74.125.194.27]:25

Если я правильно понял у Вас gmail настроен в качестве "отправщика писем", а второй момент — почему подключение к нему идет на 25 порт? Они уже давно не пускают на smtp без шифрования

[AlexPetroff]

Да, это я что-то перегнул, посмотрел у себя в логах — примерно тоже самое

postfix/smtp[27136]: 45A501BA0074: to=<***@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.73.27]:25, delay=1.1, delays=0.15/0/0.53/0.38, dsn=2.0.0, status=sent (250 2.0.0 OK 1464039628 j17si16208988lfb.71 - gsmtp)

[AlexPetroff]

Вот с локального что получилось

sergey@debian:~$ telnet gmail-smtp-in.l.google.com 25
Trying 173.194.222.27...
Connected to gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP 37si10719922lfs.94 - gsmtp
EHLO gmail-smtp-in.l.google.com
250-mx.google.com at your service, [188.126.35.76]
250-SIZE 157286400
250-8BITMIME
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8
STARTTLS
220 2.0.0 Ready to start TLS
Connection closed by foreign host.

А насчет вырезания из пакетов и пр. не подскажу, но сдается мне все намного проще...

[AlexPetroff]

А что за сервер и система?

[AlexPetroff]

Интересно только зачем это может понадобиться провайдеру/хостеру?

[AlexPetroff]

Что хостинг ответил?

[AlexPetroff]

Даже не знаю что подсказать, а в первых двух строчках так скопировалось или в конфиге тоже опечатка: lmtp