TLS opportuniste pour le courrier entrant avec une bannière SMTP masquée

J'ai un server de messagerie avec TLS opportuniste activé (Postfix smtpd_tls_security_level = may), mais la bannière SMTP est masquée par correctif SMTP sur notre FWSM. Avant de désactiver ce masquage, la bannière SMTP requirejse pour les autres servers de messagerie configurés pour TLS opportunistes pour négocier une session TLS pour le courrier entrant? J'ai lu quelque part que Postfix ne peut pas utiliser ESMTP si ce terme n'est pas dans la bannière.

La bannière est masquée par des astérisques: 220 *************************************

One Solution collect form web for “TLS opportuniste pour le courrier entrant avec une bannière SMTP masquée”

Je pense que deux questions différentes sont posées ici, donc je les aborderai séparément.

Question 1 : Est-ce que la Bannière SMTP est requirejse pour afficher des servers de messagerie non masqués pour utiliser TLS?

Réponse: Non, la bannière de bienvenue SMTP elle-même ne détermine pas l'éligibilité à TLS. Donc, si c'est la SEULE chose qui est masquée, cela ne devrait pas poser de problème.

Question 2 (Paraphrasée): Le pare-feu interfère-t-il avec les connections TLS entrantes?

Réponse: Très probablement. En plus de masquer la bannière de bienvenue, le service d'inspection de correctif / esmtp sur Cisco Firewalls n'accepte généralement que des commands spécifiques.

Je ne sais pas quel pare-feu de version / model que vous utilisez, mais selon cette note technique :

L'inspection ESMTP fonctionne de la même manière que l'inspection SMTP. Les packages avec des commands illégales sont modifiés selon un motif "xxxx" et transmis au server, ce qui triggers une réponse négative. Une command ESMTP illégale est une command sauf pour ces commands:

AUTH DATA EHLO ETRN HELO HELP HELP MAIL NOOP QUIT RCPT RSET SAML SEND SOML VRFY 

Lorsque les servers externes se connectent et émettent la command SMTP ehlo , ils verront une list de services / options SMTP pris en charge. En supposant qu'ils voient 250-STARTTLS le server d'envoi émettra une command STARTTLS pour commencer la tentative d'utiliser TLS. Vous remarquerez que cette command n'est pas incluse dans la list des commands ci-dessus.

Donc, en résumé, je soupçonne que votre pare-feu interfère, mais pas en raison de l'accueil de la bannière. Je pense que c'est bloquer / masquer la command STARTTLS du server de messagerie distant.

  • La command d'erreur SMTP de Centos n'est pas implémentée
  • Ssortingct-Transport-Security header set, mais Firefox et Chrome utilisent toujours HTTP
  • IIS6 SMTP et TLS sur les connections sortantes
  • Pourquoi ne puis-je pas redirect mon https: // domaine vers un autre https: // domaine sur la même adresse IP sans exception de security?
  • Ubuntu 14.04, problèmes OpenLDAP TLS
  • Configuration SSL sur Apache
  • Quelle SSLCipherSuite dois-je utiliser pour supprimer ces Suites?
  • Quelles sont les différences de niveau de protocole exactes entre SSL et TLS?
  • Samba TLS Setup
  • Est-il nécessaire d'acheter un OID pour ADCS?
  • Can Squid peut-il être utilisé comme «proxy de terminaison TLS» pour chiffrer les connections TCP à l'aide de certificates de client?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.