Hello tout le monde,
Je post ça ici car je ne sais pas trop où le poster, pis de toute façon ça n'est pas un problème mais + une façon de configurer son serveur mail.
Actuellement sur mes serveurs mails j'ai le port 25 avec TLS en option et le port 465 avec TLS imposé.
Je suis entrain de préparer mes scripts d'installs pour Debian 10 et je me dis que c'est l'occasion de faire un peu le ménage là dedans.
Premièrement le port 465 étant considéré comme "deprecated" il faudrait que je le désactive, même si le fait d'imposer TLS me parait pas mal...
Et qu'en remplacement pour l'envoie des mails depuis un client j'active le port 587 avec STARTTLS.
A la limite je pourrai conserver le port 465 encore quelques années, mais bon, un jour il faudra bien faire la bascule.
L'autre question concerne le port 25 où actuellement TLS est tjrs en option (may). Attention je parle essentiellement pour l'échange entre serveurs et pas l'envoie depuis un client. Je pourrai éventuellement compléter avec un -o smtpd_sasl_auth_enable=no (j'ai pas testé mais ça devrait faire le job).
Je me dis qu'en bientôt 2020 je pourrai passer à -o smtpd_enforce_tls=yes dans le master.cf... Mais est ce bien raisonnable ? Cela fait plusieurs années que mes serveurs acceptent TLS mais j'ai tjrs conservé le non tls pour des raisons de compatibilité avec d'autre serveurs...
A un moment donné il faut aller de l'avant...
Il faudrait que je parse mes logs pour voir si j'ai tjrs des connexions sans TLS...
Bref je résume.
Pensez vous qu'en 2020 il soit pertinent de virer le port 465, d'activer le port 587, de forcer TLS sur le port 25 et d'interdire l'auth des clients sur le port 25 également.
Bon et à côté de toute façon je vais virer les ports 110 et 143 côté clients, je les avais gardé jusqu'à présent là aussi pour des raisons de compatibilité.
Je le redis mais la partie délicate c'est surtout pour forcer TLS sur le port 25 en raison d'autres serveurs qui ne seraient pas compatible avec ça.
Brèves de comptoir – Ports mails / Forcer TLS /
Sujets apparentés
- Renouvellement automatique obligatoire?
30852
31.03.2017 08:49
- L'avenir de Hubic ?
30265
28.10.2016 09:45
- Comment contacter OVH par téléphone ou même par chat
27172
26.01.2022 14:11
- Renouvellement automatique non voulu
20463
27.01.2017 18:51
- Suggestions d'amélioration de ce Forum
10148
12.10.2016 09:08
- Utilisation du compte client OVH ? je suis contre
8607
11.10.2016 19:18
- Questions fréquentes liées à l'identifiant et la sécurité du compte OVH
8418
17.07.2018 12:19
- VPN OVH - Existe-t-il toujours
8260
22.01.2017 20:21
- Ou est passé le forum HUBIC
7438
20.10.2016 21:31
- Connexions non identifiées à mon compte - Digiposte
7195
17.11.2016 11:43
Tout dépend si tu as des clients qui parlent en submission, entre serveurs c'est toujours port 25 et TLS préféré.
Honnêtement je devrais aussi gratter mes logs pour savoir s'il y a encore des clampins qui ne comprennent pas STARTTLS entre serveurs.
Ensuite le sertificat ? auto-signé ? Let's Encrypt (3 mois) ou autre vendeur (2 ou 3 ans) ?
Question POP3/110 et POP3S/995 tu as encore des clients POP3 aujourd'hui ? sérieux ?
Question IMAP/143 de nouveau STARTTLS fonctionne par défaut sur 143 et non 993 ?
Au vu des forums, apparemment les Mac et iPhone génèrent un tas d'incidents. Il faut encore voir pourquoi ... en SMTP AUTH LOGIN ou AUTH PLAIN ? si on se rappelle des bizarreries que Outlook Express nous a faites dans le passé ?
Donc prudence et teste avec tes utilisateurs à la pomme...
Merci pour ce retour.
J'ai pas mal réfléchi et je pense que je vais faire comme ça :
- désactivation des ports 110, 143, 495.
- activation du port 587
- désactivation de sasl sur le port 25.
- Dans une second temps il va falloir que je bûche pour empêcher tout envoie de mails sans authentification y comprit localement. Cela va s'accompagner d'un blocage des fonctions mail() et exec() sur PHP. Certains clients ne vont pas être content mais ça fait des années que je leur dis d'envoyer leurs mails via SMTP avec un compte authentifié.
A voir si cela ne va pas poser de problèmes avec spf/dkim/dmarc/amavis...
- Et dans un 3° temps éplucher mes logs pour voir si je peux imposer TLS pour tous les échanges sur le port 25.
Bouh, je ne m'attendais pas à ça quand j'ai commencé mes scripts pour déployer debian10, mais c'est le meilleur moment pour faire ces évolutions de config, autant m'y coller...
Ce n'est pas un peu rétrograde, ça ?
En principe dans les headers tu as le userid de ton client.
Certes, mais ça permet quand même d'avoir un meilleur suivi de ce qui se passe quand on a une authentification et de facilement bloquer un site d'envoyer les mails.
De + en imposant le SMTP les utilisateurs se retrouvent souvent à utiliser le SMTP de leur domaine du mail expéditeur, et ainsi utilisent un autre serveur pour envoyer les mails... ET moi ça me fait un problème de moins à gérer :)
Pas faux, ça ;)
Juste pour info j'ai épluché la doc de postfix, et concernant le fait de forcer TLS voici ce que dit la doc :
smtp_tls_security_level
[quote]Despite the potential for eliminating passive eavesdropping attacks, mandatory TLS encryption is not viable as a default security level for mail delivery to the public Internet. Some MX hosts do not support TLS at all, and some of those that do have broken implementations. On a host that delivers mail to the Internet, you should not configure mandatory TLS encryption as the default security level. [/quote]
smtpd_tls_security_level
[quote]You can ENFORCE the use of TLS, so that the Postfix SMTP server announces STARTTLS and accepts no mail without TLS encryption, by setting "smtpd_tls_security_level = encrypt". According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced Postfix SMTP server. This option is off by default and should only seldom be used. [/quote]
En gros c'est mal... Pour le moment je vais me baser sur ce que dit la doc, j'aviserai + tard... Peut être pour Debian11 dans 2 ans :)