TLS opportuniste pour le courrier entrant avec une bannière SMTP masquée

J'ai un server de messagerie avec TLS opportuniste activé (Postfix smtpd_tls_security_level = may), mais la bannière SMTP est masquée par correctif SMTP sur notre FWSM. Avant de désactiver ce masquage, la bannière SMTP requirejse pour les autres servers de messagerie configurés pour TLS opportunistes pour négocier une session TLS pour le courrier entrant? J'ai lu quelque part que Postfix ne peut pas utiliser ESMTP si ce terme n'est pas dans la bannière.

La bannière est masquée par des astérisques: 220 *************************************

One Solution collect form web for “TLS opportuniste pour le courrier entrant avec une bannière SMTP masquée”

Je pense que deux questions différentes sont posées ici, donc je les aborderai séparément.

Question 1 : Est-ce que la Bannière SMTP est requirejse pour afficher des servers de messagerie non masqués pour utiliser TLS?

Réponse: Non, la bannière de bienvenue SMTP elle-même ne détermine pas l'éligibilité à TLS. Donc, si c'est la SEULE chose qui est masquée, cela ne devrait pas poser de problème.

Question 2 (Paraphrasée): Le pare-feu interfère-t-il avec les connections TLS entrantes?

Réponse: Très probablement. En plus de masquer la bannière de bienvenue, le service d'inspection de correctif / esmtp sur Cisco Firewalls n'accepte généralement que des commands spécifiques.

Je ne sais pas quel pare-feu de version / model que vous utilisez, mais selon cette note technique :

L'inspection ESMTP fonctionne de la même manière que l'inspection SMTP. Les packages avec des commands illégales sont modifiés selon un motif "xxxx" et transmis au server, ce qui triggers une réponse négative. Une command ESMTP illégale est une command sauf pour ces commands:

AUTH DATA EHLO ETRN HELO HELP HELP MAIL NOOP QUIT RCPT RSET SAML SEND SOML VRFY 

Lorsque les servers externes se connectent et émettent la command SMTP ehlo , ils verront une list de services / options SMTP pris en charge. En supposant qu'ils voient 250-STARTTLS le server d'envoi émettra une command STARTTLS pour commencer la tentative d'utiliser TLS. Vous remarquerez que cette command n'est pas incluse dans la list des commands ci-dessus.

Donc, en résumé, je soupçonne que votre pare-feu interfère, mais pas en raison de l'accueil de la bannière. Je pense que c'est bloquer / masquer la command STARTTLS du server de messagerie distant.

  • Postfix: Application de TLS sortant en fonction du domaine de l'expéditeur et du destinataire?
  • Désactiver SMTP AUTH sur le port 25
  • Comment vérifier la connectivité SSL entre les certificates installés sur deux servers différents
  • TCP_NODELAY pour un tunnel SSL?
  • Comment basculer entre TLS 1.0 et SSL 3.0 au niveau Java / JRE?
  • OpenLdap 2.4 sur centos 6 n'écoute pas sur le port 636
  • Est-il possible de définir l'en-tête HTTP de la version SSL / TLS avec Apache qu'une application backend peut utiliser?
  • Puis-je configurer IIS 7.5 Forward Privacy pour redirect pour les browsers non pris en charge (IE)?
  • Existe-t-il un équivalent du SSL SSLLabs pour SSL / TLS qui n'est pas HTTPS?
  • L'application du encryption pour SMTP est-elle une bonne idée (encore)?
  • Ssortingct-Transport-Security header set, mais Firefox et Chrome utilisent toujours HTTP
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.