Ports mails / Forcer TLS /

Sich 2019-08-12 15:33:55 UTC #1

Hello tout le monde,

Je post ça ici car je ne sais pas trop où le poster, pis de toute façon ça n'est pas un problème mais + une façon de configurer son serveur mail.

Actuellement sur mes serveurs mails j'ai le port 25 avec TLS en option et le port 465 avec TLS imposé.

Je suis entrain de préparer mes scripts d'installs pour Debian 10 et je me dis que c'est l'occasion de faire un peu le ménage là dedans.

Premièrement le port 465 étant considéré comme "deprecated" il faudrait que je le désactive, même si le fait d'imposer TLS me parait pas mal...
Et qu'en remplacement pour l'envoie des mails depuis un client j'active le port 587 avec STARTTLS.
A la limite je pourrai conserver le port 465 encore quelques années, mais bon, un jour il faudra bien faire la bascule.

L'autre question concerne le port 25 où actuellement TLS est tjrs en option (may). Attention je parle essentiellement pour l'échange entre serveurs et pas l'envoie depuis un client. Je pourrai éventuellement compléter avec un -o smtpd_sasl_auth_enable=no (j'ai pas testé mais ça devrait faire le job).

Je me dis qu'en bientôt 2020 je pourrai passer à -o smtpd_enforce_tls=yes dans le master.cf... Mais est ce bien raisonnable ? Cela fait plusieurs années que mes serveurs acceptent TLS mais j'ai tjrs conservé le non tls pour des raisons de compatibilité avec d'autre serveurs...

A un moment donné il faut aller de l'avant...
Il faudrait que je parse mes logs pour voir si j'ai tjrs des connexions sans TLS...

Bref je résume.
Pensez vous qu'en 2020 il soit pertinent de virer le port 465, d'activer le port 587, de forcer TLS sur le port 25 et d'interdire l'auth des clients sur le port 25 également.
Bon et à côté de toute façon je vais virer les ports 110 et 143 côté clients, je les avais gardé jusqu'à présent là aussi pour des raisons de compatibilité.
Je le redis mais la partie délicate c'est surtout pour forcer TLS sur le port 25 en raison d'autres serveurs qui ne seraient pas compatible avec ça.

Fritz2cat 2019-08-12 19:39:52 UTC #2

Tout dépend si tu as des clients qui parlent en submission, entre serveurs c'est toujours port 25 et TLS préféré.
Honnêtement je devrais aussi gratter mes logs pour savoir s'il y a encore des clampins qui ne comprennent pas STARTTLS entre serveurs.
Ensuite le sertificat ? auto-signé ? Let's Encrypt (3 mois) ou autre vendeur (2 ou 3 ans) ?
Question POP3/110 et POP3S/995 tu as encore des clients POP3 aujourd'hui ? sérieux ?
Question IMAP/143 de nouveau STARTTLS fonctionne par défaut sur 143 et non 993 ?

Au vu des forums, apparemment les Mac et iPhone génèrent un tas d'incidents. Il faut encore voir pourquoi ... en SMTP AUTH LOGIN ou AUTH PLAIN ? si on se rappelle des bizarreries que Outlook Express nous a faites dans le passé ?
Donc prudence et teste avec tes utilisateurs à la pomme...

Sich 2019-08-13 07:40:55 UTC #3

Merci pour ce retour.
J'ai pas mal réfléchi et je pense que je vais faire comme ça :
- désactivation des ports 110, 143, 495.
- activation du port 587
- désactivation de sasl sur le port 25.

Dans une second temps il va falloir que je bûche pour empêcher tout envoie de mails sans authentification y comprit localement. Cela va s'accompagner d'un blocage des fonctions mail() et exec() sur PHP. Certains clients ne vont pas être content mais ça fait des années que je leur dis d'envoyer leurs mails via SMTP avec un compte authentifié.
A voir si cela ne va pas poser de problèmes avec spf/dkim/dmarc/amavis...
Et dans un 3° temps éplucher mes logs pour voir si je peux imposer TLS pour tous les échanges sur le port 25.

Bouh, je ne m'attendais pas à ça quand j'ai commencé mes scripts pour déployer debian10, mais c'est le meilleur moment pour faire ces évolutions de config, autant m'y coller...

Fritz2cat 2019-08-13 08:09:04 UTC #4

Ce n'est pas un peu rétrograde, ça ?
En principe dans les headers tu as le userid de ton client.

Sich 2019-08-13 08:27:00 UTC #5

Certes, mais ça permet quand même d'avoir un meilleur suivi de ce qui se passe quand on a une authentification et de facilement bloquer un site d'envoyer les mails.
De + en imposant le SMTP les utilisateurs se retrouvent souvent à utiliser le SMTP de leur domaine du mail expéditeur, et ainsi utilisent un autre serveur pour envoyer les mails... ET moi ça me fait un problème de moins à gérer :)

Fritz2cat 2019-08-13 09:09:05 UTC #6

Pas faux, ça ;)

Sich 2019-08-13 13:40:43 UTC #7

Juste pour info j'ai épluché la doc de postfix, et concernant le fait de forcer TLS voici ce que dit la doc :

smtp_tls_security_level

smtpd_tls_security_level

En gros c'est mal... Pour le moment je vais me baser sur ce que dit la doc, j'aviserai + tard... Peut être pour Debian11 dans 2 ans :)

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.