Brèves de comptoir – Ports mails / Forcer TLS /
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Ports mails / Forcer TLS /

Par
Sich
Contributeur
Créé le 2019-08-12 15:33:55 (edited on 2024-09-04 12:05:01) dans Brèves de comptoir

Hello tout le monde,

Je post ça ici car je ne sais pas trop où le poster, pis de toute façon ça n'est pas un problème mais + une façon de configurer son serveur mail.

Actuellement sur mes serveurs mails j'ai le port 25 avec TLS en option et le port 465 avec TLS imposé.

Je suis entrain de préparer mes scripts d'installs pour Debian 10 et je me dis que c'est l'occasion de faire un peu le ménage là dedans.

Premièrement le port 465 étant considéré comme "deprecated" il faudrait que je le désactive, même si le fait d'imposer TLS me parait pas mal...
Et qu'en remplacement pour l'envoie des mails depuis un client j'active le port 587 avec STARTTLS.
A la limite je pourrai conserver le port 465 encore quelques années, mais bon, un jour il faudra bien faire la bascule.

L'autre question concerne le port 25 où actuellement TLS est tjrs en option (may). Attention je parle essentiellement pour l'échange entre serveurs et pas l'envoie depuis un client. Je pourrai éventuellement compléter avec un -o smtpd_sasl_auth_enable=no (j'ai pas testé mais ça devrait faire le job).

Je me dis qu'en bientôt 2020 je pourrai passer à -o smtpd_enforce_tls=yes dans le master.cf... Mais est ce bien raisonnable ? Cela fait plusieurs années que mes serveurs acceptent TLS mais j'ai tjrs conservé le non tls pour des raisons de compatibilité avec d'autre serveurs...

A un moment donné il faut aller de l'avant...
Il faudrait que je parse mes logs pour voir si j'ai tjrs des connexions sans TLS...


Bref je résume.
Pensez vous qu'en 2020 il soit pertinent de virer le port 465, d'activer le port 587, de forcer TLS sur le port 25 et d'interdire l'auth des clients sur le port 25 également.
Bon et à côté de toute façon je vais virer les ports 110 et 143 côté clients, je les avais gardé jusqu'à présent là aussi pour des raisons de compatibilité.
Je le redis mais la partie délicate c'est surtout pour forcer TLS sur le port 25 en raison d'autres serveurs qui ne seraient pas compatible avec ça.


6 réponses ( Latest reply on 2019-08-13 13:40:43 Par
Sich
)


virer le port 465, d'activer le port 587


Tout dépend si tu as des clients qui parlent en submission, entre serveurs c'est toujours port 25 et TLS préféré.
Honnêtement je devrais aussi gratter mes logs pour savoir s'il y a encore des clampins qui ne comprennent pas STARTTLS entre serveurs.
Ensuite le sertificat ? auto-signé ? Let's Encrypt (3 mois) ou autre vendeur (2 ou 3 ans) ?
Question POP3/110 et POP3S/995 tu as encore des clients POP3 aujourd'hui ? sérieux ?
Question IMAP/143 de nouveau STARTTLS fonctionne par défaut sur 143 et non 993 ?

Au vu des forums, apparemment les Mac et iPhone génèrent un tas d'incidents. Il faut encore voir pourquoi ... en SMTP AUTH LOGIN ou AUTH PLAIN ? si on se rappelle des bizarreries que Outlook Express nous a faites dans le passé ?
Donc prudence et teste avec tes utilisateurs à la pomme...

Merci pour ce retour.
J'ai pas mal réfléchi et je pense que je vais faire comme ça :
- désactivation des ports 110, 143, 495.
- activation du port 587
- désactivation de sasl sur le port 25.

- Dans une second temps il va falloir que je bûche pour empêcher tout envoie de mails sans authentification y comprit localement. Cela va s'accompagner d'un blocage des fonctions mail() et exec() sur PHP. Certains clients ne vont pas être content mais ça fait des années que je leur dis d'envoyer leurs mails via SMTP avec un compte authentifié.
A voir si cela ne va pas poser de problèmes avec spf/dkim/dmarc/amavis...

- Et dans un 3° temps éplucher mes logs pour voir si je peux imposer TLS pour tous les échanges sur le port 25.

Bouh, je ne m'attendais pas à ça quand j'ai commencé mes scripts pour déployer debian10, mais c'est le meilleur moment pour faire ces évolutions de config, autant m'y coller...


blocage des fonctions mail()


Ce n'est pas un peu rétrograde, ça ?
En principe dans les headers tu as le userid de ton client.

Certes, mais ça permet quand même d'avoir un meilleur suivi de ce qui se passe quand on a une authentification et de facilement bloquer un site d'envoyer les mails.
De + en imposant le SMTP les utilisateurs se retrouvent souvent à utiliser le SMTP de leur domaine du mail expéditeur, et ainsi utilisent un autre serveur pour envoyer les mails... ET moi ça me fait un problème de moins à gérer :)


ET moi ça me fait un problème de moins à gérer :)


Pas faux, ça ;)

Juste pour info j'ai épluché la doc de postfix, et concernant le fait de forcer TLS voici ce que dit la doc :

smtp_tls_security_level
[quote]Despite the potential for eliminating passive eavesdropping attacks, mandatory TLS encryption is not viable as a default security level for mail delivery to the public Internet. Some MX hosts do not support TLS at all, and some of those that do have broken implementations. On a host that delivers mail to the Internet, you should not configure mandatory TLS encryption as the default security level. [/quote]

smtpd_tls_security_level
[quote]You can ENFORCE the use of TLS, so that the Postfix SMTP server announces STARTTLS and accepts no mail without TLS encryption, by setting "smtpd_tls_security_level = encrypt". According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced Postfix SMTP server. This option is off by default and should only seldom be used. [/quote]

En gros c'est mal... Pour le moment je vais me baser sur ce que dit la doc, j'aviserai + tard... Peut être pour Debian11 dans 2 ans :)

Les réponses sont actuellement désactivées pour cette question.