Задать вопрос

Разрешение tls для получения почты от РУ сегмента?

Госорганы переходят или перешли на сертификаты, которые выпущены только в РФ и их не принимают толком где-то.
Я использую mailcow и обычный Let's Encrypt сертификат. Проблема, в том что письма не приходят \ не уходят на почтовые сервисы, где Russian Trusted Sub CA.
TLS is required, but was not offered by host mail.XXX.ru[XXX.XXX.XXX.XXX]
Не принимает сертификат, как понимаю.
Возможно, кто то сталкивался с такой проблемой и знает как решить. Возможно создать белый лист, и пропускать все почты от данного домена.

Обновлено. Понял что протоколы
SMTP (465) и SMTP STARTTLS (587) не отвечают. А все остальные нормально выдают сертификат.
Проверял
# Connect via SMTP STARTTLS (587)
openssl s_client -starttls smtp -connect MAILCOW_HOSTNAME:587 | openssl x509 -noout -text
# Connect via SMTP (465)
openssl s_client -connect MAILCOW_HOSTNAME:465 | openssl x509 -noout -text

Пока ищу решение проблемы.
  • Вопрос задан
  • 587 просмотров
Подписаться 4 Сложный Комментировать
Пригласить эксперта
Ответы на вопрос 4
@AUser0
Чем больше знаю, тем лучше понимаю, как мало знаю.
Если у вас UNIX-like система, то сделайте
openssl s_client -connect mx.server.name:25 -starttls smtp
хотя-бы, что бы знать что там за зверь притаился... Разумеется замените mx.server.name на доменное имя MX-сервера получателя.
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Установите в ОС, где размещен ваш почтовый сервер, корневой и выпускающие сертификаты Минцифры
Ответ написан
Текущие практики применения STARTTLS для взаимодействий между серверами следующие:
- если клиент и сервер поддерживают MTA-STS или DANE, то следовать спецификации MTA-STS или DANE (TLS в таком случае обязателен и валидность сертификата проверяется)
- иначе в случае поддержки STARTTLS сервером клиент не проверяет валидность сертификата (сервер может использовать в т.ч. самоподписанный сертификат)
- если произошел сбой в STARTTLS то письмо отправляется в открытом тексте
- статистика использования STARTTLS доступна через TLS-RPT.

Почему используется именно такой подход (не проверяется сертификат сервера):
- в случае пассивного MitM (когда можно только слушать трафик) не важно, какой именно сертификат использует сервер
- в случае акттивного MitM между серверами атакующий может изменить MX записи направив трафик на другой сервер и/или выпустить сертификат для одного из серверов, поэтому проверка сертификата не спасает без дополнительных мер (определяемых MTA-STS и DANE).

Поскольку MTA-STS и DANE вы наверняка не поддерживаете, вам надо в конфигурации вашего сервера
- отключить проверку сертификата
- разрешить фолбек на отправку письма в открытом тексте (не требовать обязательного STARTTLS)
- там где надо гарантировать доставку писем поверх TLS на определенные домены, сконфигурировать MTA-STS, DANE (в зависимости от поддержки доменами) либо отдельные транспорты с жестким прописыванием имени MX сервера для каждого домена назначения и включением TLS и проверки сертификата для транспорта.

Иначе ужесточая требования TLS без дополнительных мер вы только стреляете себе в ногу.
Ответ написан
@bit8 Автор вопроса
На данный момент помогает лишь, ручное добавление домена в правила tls.
Хотя глобальные изменены на may
"Переопределение правил для политик исходящих соединений TLS"

в файлах
postfix/extra.cf
postfix/main.cf

Установлено smtp_tls_security_level = may, но глобально не срабатывает.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы