smtp_tls_security_level

[Philipp Faeustlin]

Ich glaube laut RFC 3207 ist TLS für öffentliche SMTP Server optional zu 
halten, wenn ich das richtig verstehe.

https://www.ietf.org/rfc/rfc3207.txt
4. ...
"A publicly-referenced SMTP server MUST NOT require use of the
    STARTTLS extension in order to deliver mail locally."

Bin mir aber nicht sicher, ob der RFC noch aktuell ist, bzw. ob ich den 
Absatz richtig verstehe.

Gruß Philipp

Am 22.11.18 um 08:10 schrieb Frank fiene:
> Klingt gut,
> 
> Das ist aber zu aufwändig.
> 
> Gibt es denn immer noch so viele Mailgateways ohne TLS im Internet?
> Sonst könnte man wenigstens auf encrypt stellen.
> 
> 
> Viele Grüße! Frank
> 
>> Am 22.11.2018 um 05:48 schrieb Klaus Tachtler <klaus at tachtler.net>:
>>
>> Hallo Frank,
>>
>> also das kannst Du schon so machen, würde ich aber nicht! - Ist da zu sehr "GLOBAL".
>>
>> Besser wäre, wenn Du das pro "Client" machst, wie z.B.
>> (Das habe ich mal für mich in meinem DokuWiki dokumentiert):
>>
>> https://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=smtp&s[]=tls&s[]=security&s[]=level#tls-policies-konfiguration
>>
>> Wichtig hier:
>> =============
>>
>> /etc/postfix/main.cf:
>> ---------------------
>> smtp_tls_policy_maps = btree:/etc/postfix/smtp_tls_policy_maps
>>
>>
>> Inhalt könnte dann z.B. sein:
>>
>> /etc/postfix/smtp_tls_policy_maps:
>> ----------------------------------
>>
>> irgendwer.de    fingerprint match=F9:A2:58:4B:CA:1F:52:68:69:FF:87:73:CF:62:40:40:57:AC:21:B1
>> nausch.org      dane-only
>>
>>
>> a.) Überprüfung NUR bei irgendwer.de auf den richtigen FINGERPRINT des Zertifikats
>> b.) Überprüfung NUR bei nausch.or auf dane-only
>>
>> p.s. Bei dany-only --> smtp_dns_support_level = dnssec <-- NICHT vergessen!
>>
>> Noch mehr Beispiele unter:
>>
>> http://www.postfix.org/postconf.5.html#smtp_tls_security_level
>>
>>
>> Grüße
>> Klaus.
>>
>>> Moin!
>>>
>>> Hat schon mal jemand smtp_tls_security_level von may auf encrypt, dane oder sogar dane-only eingestellt?
>>>
>>> Kann man das machen?
>>>
>>> Ich sehe auf unserem ausgehenden Mailgataways fast nur Untrusted TLS connections und ganz wenige Verified.
>>>
>>>
>>> Viele Grüße!
>>> Frank
>>> --
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: ffiene at veka.com
>>> http://www.veka.com
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>>
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>
>>
>> ----- Ende der Nachricht von Frank Fiene <ffiene at veka.com> -----
>>
>>
>>
>>
>> -- 
>>
>> ------------------------------------------------
>> e-Mail  : klaus at tachtler.net
>> Homepage: https://www.tachtler.net
>> DokuWiki: https://dokuwiki.tachtler.net
>> ------------------------------------------------
>>
>>
>> <mime-attachment>
> 

-- 
Philipp Fäustlin
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail

Schloss, Westhof Süd | 70599 Stuttgart
Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de/

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5359 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181122/88840030/attachment-0001.p7s>