smtp_tls_security_level

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

smtp_tls_security_level

Frank Fiene
Moin!

Hat schon mal jemand smtp_tls_security_level von may auf encrypt, dane oder sogar dane-only eingestellt?

Kann man das machen?

Ich sehe auf unserem ausgehenden Mailgataways fast nur Untrusted TLS connections und ganz wenige Verified.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Klaus Tachtler
Hallo Frank,

also das kannst Du schon so machen, würde ich aber nicht! - Ist da zu  
sehr "GLOBAL".

Besser wäre, wenn Du das pro "Client" machst, wie z.B.
(Das habe ich mal für mich in meinem DokuWiki dokumentiert):

https://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=smtp&s[]=tls&s[]=security&s[]=level#tls-policies-konfiguration

Wichtig hier:
=============

/etc/postfix/main.cf:
---------------------
smtp_tls_policy_maps = btree:/etc/postfix/smtp_tls_policy_maps


Inhalt könnte dann z.B. sein:

/etc/postfix/smtp_tls_policy_maps:
----------------------------------

irgendwer.de    fingerprint  
match=F9:A2:58:4B:CA:1F:52:68:69:FF:87:73:CF:62:40:40:57:AC:21:B1
nausch.org      dane-only


a.) Überprüfung NUR bei irgendwer.de auf den richtigen FINGERPRINT des  
Zertifikats
b.) Überprüfung NUR bei nausch.or auf dane-only

p.s. Bei dany-only --> smtp_dns_support_level = dnssec <-- NICHT vergessen!

Noch mehr Beispiele unter:

http://www.postfix.org/postconf.5.html#smtp_tls_security_level


Grüße
Klaus.

> Moin!
>
> Hat schon mal jemand smtp_tls_security_level von may auf encrypt,  
> dane oder sogar dane-only eingestellt?
>
> Kann man das machen?
>
> Ich sehe auf unserem ausgehenden Mailgataways fast nur Untrusted TLS  
> connections und ganz wenige Verified.
>
>
> Viele Grüße!
> Frank
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: [hidden email]
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.  
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster

----- Ende der Nachricht von Frank Fiene <[hidden email]> -----




--

------------------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
------------------------------------------------



attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Frank Fiene
Klingt gut,

Das ist aber zu aufwändig.

Gibt es denn immer noch so viele Mailgateways ohne TLS im Internet?
Sonst könnte man wenigstens auf encrypt stellen.


Viele Grüße! Frank

> Am 22.11.2018 um 05:48 schrieb Klaus Tachtler <[hidden email]>:
>
> Hallo Frank,
>
> also das kannst Du schon so machen, würde ich aber nicht! - Ist da zu sehr "GLOBAL".
>
> Besser wäre, wenn Du das pro "Client" machst, wie z.B.
> (Das habe ich mal für mich in meinem DokuWiki dokumentiert):
>
> https://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=smtp&s[]=tls&s[]=security&s[]=level#tls-policies-konfiguration
>
> Wichtig hier:
> =============
>
> /etc/postfix/main.cf:
> ---------------------
> smtp_tls_policy_maps = btree:/etc/postfix/smtp_tls_policy_maps
>
>
> Inhalt könnte dann z.B. sein:
>
> /etc/postfix/smtp_tls_policy_maps:
> ----------------------------------
>
> irgendwer.de    fingerprint match=F9:A2:58:4B:CA:1F:52:68:69:FF:87:73:CF:62:40:40:57:AC:21:B1
> nausch.org      dane-only
>
>
> a.) Überprüfung NUR bei irgendwer.de auf den richtigen FINGERPRINT des Zertifikats
> b.) Überprüfung NUR bei nausch.or auf dane-only
>
> p.s. Bei dany-only --> smtp_dns_support_level = dnssec <-- NICHT vergessen!
>
> Noch mehr Beispiele unter:
>
> http://www.postfix.org/postconf.5.html#smtp_tls_security_level
>
>
> Grüße
> Klaus.
>
>> Moin!
>>
>> Hat schon mal jemand smtp_tls_security_level von may auf encrypt, dane oder sogar dane-only eingestellt?
>>
>> Kann man das machen?
>>
>> Ich sehe auf unserem ausgehenden Mailgataways fast nur Untrusted TLS connections und ganz wenige Verified.
>>
>>
>> Viele Grüße!
>> Frank
>> --
>> Frank Fiene
>> IT-Security Manager VEKA Group
>>
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: [hidden email]
>> http://www.veka.com
>>
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> Threema: VZK5NDWW
>>
>> VEKA AG
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>>
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
>> HRB 8282 AG Münster/District Court of Münster
>
>
> ----- Ende der Nachricht von Frank Fiene <[hidden email]> -----
>
>
>
>
> --
>
> ------------------------------------------------
> e-Mail  : [hidden email]
> Homepage: https://www.tachtler.net
> DokuWiki: https://dokuwiki.tachtler.net
> ------------------------------------------------
>
>
> <mime-attachment>

Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Philipp Faeustlin
Ich glaube laut RFC 3207 ist TLS für öffentliche SMTP Server optional zu
halten, wenn ich das richtig verstehe.

https://www.ietf.org/rfc/rfc3207.txt
4. ...
"A publicly-referenced SMTP server MUST NOT require use of the
    STARTTLS extension in order to deliver mail locally."

Bin mir aber nicht sicher, ob der RFC noch aktuell ist, bzw. ob ich den
Absatz richtig verstehe.

Gruß Philipp

Am 22.11.18 um 08:10 schrieb Frank fiene:

> Klingt gut,
>
> Das ist aber zu aufwändig.
>
> Gibt es denn immer noch so viele Mailgateways ohne TLS im Internet?
> Sonst könnte man wenigstens auf encrypt stellen.
>
>
> Viele Grüße! Frank
>
>> Am 22.11.2018 um 05:48 schrieb Klaus Tachtler <[hidden email]>:
>>
>> Hallo Frank,
>>
>> also das kannst Du schon so machen, würde ich aber nicht! - Ist da zu sehr "GLOBAL".
>>
>> Besser wäre, wenn Du das pro "Client" machst, wie z.B.
>> (Das habe ich mal für mich in meinem DokuWiki dokumentiert):
>>
>> https://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=smtp&s[]=tls&s[]=security&s[]=level#tls-policies-konfiguration
>>
>> Wichtig hier:
>> =============
>>
>> /etc/postfix/main.cf:
>> ---------------------
>> smtp_tls_policy_maps = btree:/etc/postfix/smtp_tls_policy_maps
>>
>>
>> Inhalt könnte dann z.B. sein:
>>
>> /etc/postfix/smtp_tls_policy_maps:
>> ----------------------------------
>>
>> irgendwer.de    fingerprint match=F9:A2:58:4B:CA:1F:52:68:69:FF:87:73:CF:62:40:40:57:AC:21:B1
>> nausch.org      dane-only
>>
>>
>> a.) Überprüfung NUR bei irgendwer.de auf den richtigen FINGERPRINT des Zertifikats
>> b.) Überprüfung NUR bei nausch.or auf dane-only
>>
>> p.s. Bei dany-only --> smtp_dns_support_level = dnssec <-- NICHT vergessen!
>>
>> Noch mehr Beispiele unter:
>>
>> http://www.postfix.org/postconf.5.html#smtp_tls_security_level
>>
>>
>> Grüße
>> Klaus.
>>
>>> Moin!
>>>
>>> Hat schon mal jemand smtp_tls_security_level von may auf encrypt, dane oder sogar dane-only eingestellt?
>>>
>>> Kann man das machen?
>>>
>>> Ich sehe auf unserem ausgehenden Mailgataways fast nur Untrusted TLS connections und ganz wenige Verified.
>>>
>>>
>>> Viele Grüße!
>>> Frank
>>> --
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: [hidden email]
>>> http://www.veka.com
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>>
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>
>>
>> ----- Ende der Nachricht von Frank Fiene <[hidden email]> -----
>>
>>
>>
>>
>> --
>>
>> ------------------------------------------------
>> e-Mail  : [hidden email]
>> Homepage: https://www.tachtler.net
>> DokuWiki: https://dokuwiki.tachtler.net
>> ------------------------------------------------
>>
>>
>> <mime-attachment>
>
--
Philipp Fäustlin
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail

Schloss, Westhof Süd | 70599 Stuttgart
Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de/


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Frank Lanitz
Am 2018-11-22 10:02, schrieb Philipp Faeustlin:

> Ich glaube laut RFC 3207 ist TLS für öffentliche SMTP Server optional
> zu halten, wenn ich das richtig verstehe.
>
> https://www.ietf.org/rfc/rfc3207.txt
> 4. ...
> "A publicly-referenced SMTP server MUST NOT require use of the
>    STARTTLS extension in order to deliver mail locally."
>
> Bin mir aber nicht sicher, ob der RFC noch aktuell ist, bzw. ob ich
> den Absatz richtig verstehe.

Optional hin oder her: Ich gehe jedem auf die Nerven, der kein TLS hat.
Im Jahre 2018 sollte Server-to-Server einfach drin sein.

Per default habe ich encrypt aktiviert. wenn doch mal etwas hängen
bleibt,
dann gibt es eine Info an den Mail-Admin. Bei Nicht-Reaktion hilft es
ungemein, seine User dafür zu sensibilisieren :)

Gruß Frank
Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Peter Buettner
Hendrik Sünkler hat das ganz elegant gelöst:

https://github.com/suenkler/PostTLS

Er hat auch ein Skript, daß nur die queue auswertet, bei nicht TLS
Verbindungen die E-Mail löscht und den Endanwender per E-Mail
informiert, bevor der "mailer-daemon" greift.
Dieses Skript ist auch sehr leicht für dane-only anzupassen.

Gruß
Peter Büttner

Am 22.11.18 um 11:12 schrieb Frank Lanitz:

> Am 2018-11-22 10:02, schrieb Philipp Faeustlin:
>> Ich glaube laut RFC 3207 ist TLS für öffentliche SMTP Server optional
>> zu halten, wenn ich das richtig verstehe.
>>
>> https://www.ietf.org/rfc/rfc3207.txt
>> 4. ...
>> "A publicly-referenced SMTP server MUST NOT require use of the
>>    STARTTLS extension in order to deliver mail locally."
>>
>> Bin mir aber nicht sicher, ob der RFC noch aktuell ist, bzw. ob ich
>> den Absatz richtig verstehe.
>
> Optional hin oder her: Ich gehe jedem auf die Nerven, der kein TLS hat.
> Im Jahre 2018 sollte Server-to-Server einfach drin sein.
>
> Per default habe ich encrypt aktiviert. wenn doch mal etwas hängen bleibt,
> dann gibt es eine Info an den Mail-Admin. Bei Nicht-Reaktion hilft es
> ungemein, seine User dafür zu sensibilisieren :)
>
> Gruß Frank
Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Frank Fiene
In reply to this post by Frank Lanitz
Für meine eingehenden Postfix-Instanzen ist das natürlich optional.

Ich spreche aber über smtp_tls... und nicht smtpd_tls...

Und RFCs liest man ja normalerweise:

Ich nutze selber den bestmöglichen Standard aber gehe entspannt mit den anderen Kommunikationspartner um.
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com
PGP-ID: 20419C64
PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD  EAB5 BBB4 435F 2041 9C64

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

> Am 22.11.2018 um 11:12 schrieb Frank Lanitz <[hidden email]>:
>
> Am 2018-11-22 10:02, schrieb Philipp Faeustlin:
>> Ich glaube laut RFC 3207 ist TLS für öffentliche SMTP Server optional
>> zu halten, wenn ich das richtig verstehe.
>> https://www.ietf.org/rfc/rfc3207.txt
>> 4. ...
>> "A publicly-referenced SMTP server MUST NOT require use of the
>>   STARTTLS extension in order to deliver mail locally."
>> Bin mir aber nicht sicher, ob der RFC noch aktuell ist, bzw. ob ich
>> den Absatz richtig verstehe.
>
> Optional hin oder her: Ich gehe jedem auf die Nerven, der kein TLS hat.
> Im Jahre 2018 sollte Server-to-Server einfach drin sein.
>
> Per default habe ich encrypt aktiviert. wenn doch mal etwas hängen bleibt,
> dann gibt es eine Info an den Mail-Admin. Bei Nicht-Reaktion hilft es
> ungemein, seine User dafür zu sensibilisieren :)
>
> Gruß Frank

Reply | Threaded
Open this post in threaded view
|

Re: smtp_tls_security_level

Werner Flamme
In reply to this post by Philipp Faeustlin
Philipp Faeustlin schrieb am 22.11.18 um 10:02:

> Ich glaube laut RFC 3207 ist TLS für öffentliche SMTP Server optional zu
> halten, wenn ich das richtig verstehe.
>
> https://www.ietf.org/rfc/rfc3207.txt
> 4. ...
> "A publicly-referenced SMTP server MUST NOT require use of the
>     STARTTLS extension in order to deliver mail locally."
>
> Bin mir aber nicht sicher, ob der RFC noch aktuell ist, bzw. ob ich den
> Absatz richtig verstehe.

Ich habe noch gelernt, dass "must not" mit "darf nicht" zu übersetzen
ist. Das würde dann heißen, dass ein öffentlich erreichbarer SMTP-Server
nicht STARTTLS verlangen *darf*. Anbieten, ja - darüber ist nichts
gesagt, aber er darf es eben nicht zwingend voraussetzen.

Werner
--