iptables ne permet que les connections smtp avec les tls de démarrage

Est-il possible de bloquer / annuler les connections smtp non chiffrées avec iptables?

rejetant efficacement toutes les connections qui ne font pas de départ.

2 Solutions collect form web for “iptables ne permet que les connections smtp avec les tls de démarrage”

C'est inévitablement délicat. La nature de TLS est telle qu'une connection en clair à votre MTA doit être établie avant que TLS ne puisse être négocié, de sorte que iptables (fonctionnant comme il le fait dans la couche de transport) est mal conçu pour influencer les problèmes liés à la couche d'application.

Vous pourriez écrire un autre module cible et diriger votre trafic à travers cela, mais à less que vous ne soyez un dieu en réseau, cela n'est probablement plus possible pour vous que pour moi. Et je ne sais vraiment pas comment le faire.

Le résultat est que les choses de couche d'application sont beaucoup plus faciles à appliquer dans la request. Vous ne dites pas ce que vous utilisez MTA, mais je soupçonne que la plupart des MTA assez shinys pour faire TLS sont suffisamment shinys pour le mandat.

J'utilise sendmail. Il y a un bon morceau sur la prestation de TLS de différents fournisseurs à http://www.brandonhutchinson.com/Using_TLS_with_Sendmail.html , qui me dirige vers l'input de la database d'access

TLS_Clt:communication_partner_MTA PERM+VERIFY:112 

qui requirejs un partenaire de communication particulier, probablement identifié par l'adresse IP, à l'authentification avec une key d'au less 112 bits de longueur et un certificate dûment signé. La page de configuration Sendmail à http://www.sendmail.org/documentation/configurationReadme , dans la section ANTI-SPAM CONFIGURATION CONTROL, indique que les inputs db access impliquant des adresses IPv4 peuvent prendre la forme d'un octet unique, qui s'applique alors à tous les adresses commençant par cet octet. Donc, je spécule , et je souligne que c'est juste une spéculation, que sendmail me permettrait d'avoir une série d'inputs

 TLS_Clt:1 PERM:112 TLS_Clt:2 PERM:112 TLS_Clt:3 PERM:112 .... TLS_Clt:223 PERM:112 

Le encryption des mandats (mais pas les certificates signés de façon vérifiable, les certificates TLS auto-signés sont très communs et je serais enclin à ne pas les barrer) de toutes les adresses IP. Je n'aurais pas non plus une input pour TLS_Clt:127 , car localhost ne devrait probablement pas être tellement restreint.

Je répète que je n'ai testé aucun des éléments ci-dessus, et si votre MTA est autre chose que sendmail, ce qui précède ne sera pas particulièrement utile; mais je voulais montrer que mon MTA (au less) semble avoir des crochets pour faire ce que vous voulez. Bonne chance avec vos searchs.

Iptables est principalement conçu pour filterr les métadonnées d'un package réseau, telles que les en-têtes IP, les options TCP, etc. TLS est géré au niveau de l'application: vous devez regarder ce qui se passe dans le stream TCP.

Vous pouvez inspecter le contenu des packages avec l'extension de la ssortingng , et vous pouvez écrire des filters user si les kernelx ne suffisent pas. Mais ce serait très difficile: par exemple, les stream TCP peuvent être divisés en packages de manière arbitraire, et les packages TCP peuvent être reçus hors séquence … Vous devriez traiter tous ces problèmes (en dupliquant le travail des kernel).

Ce que vous cherchez ici, c'est un proxy SMTP qui transmet les connections TLS et bloque les connections non TLS. La consortingbution d'Iptable serait uniquement de s'assurer que le trafic SMTP passe par le proxy.

  • AVERTISSEMENT: Aucun des paramètres spécifiés n'est pris en charge par le moteur SSL
  • MIT Kerberos avec backend OpenLDAP - TLS ok lorsque KDC a commencé de façon interactive mais le script init échoue
  • syslog-ng EC2 TLS
  • OCSP ERROR dans la sortie ssllabs
  • Extension du server TLS
  • Comment configurez-vous Postfix pour ne pas essayer un e-mail non chiffré avec une list correcte d'adresse IP / domaines?
  • Configuration TLS postfix pour le gmx-mail entrant
  • IIS 7.5 FTP sur SSL est immédiatement rejeté du domaine
  • Quels sont les pièges de la validation RFC 5746 (TLS Renegotiation Indication Extension) sur mon server web?
  • Postfix STARTTLS uniquement sur le port 25
  • Nginx - confidentialité SSL et support iOS9
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.