Wie weit verbreitet wird erzwungenes TLS bei eingehenden SMTP-Verbindungen?

Ich führe einen MTA aus, der aus den Standardprüfungen Postfix, SpamAssassin, ClamAV, SPF / DKIM usw. besteht. Dieser MTA wird nur für eingehende E-Mails verwendet, hostet keine Konten und leitet E-Mails weiter, die diese Prüfungen an einen freigegebenen Webhost weiterleiten.

Mir ist bekannt, dass einige E-Mail-Dienste versuchen, TLS-Verbindungen vor dem Klartext herzustellen, wenn sie versuchen, E-Mails an meinen Server zuzustellen.

Mir ist klar, dass nicht alle Dienste TLS unterstützen, aber ich frage mich, wie gut es angenommen wird, damit ich die OCD-Sicherheitsseite meines Gehirns befriedigen kann (ja, ich weiß, dass SSL nicht so sicher ist, wie wir es einst dachten ...).

In der Postfix-Dokumentation für smtpd_tls_security_levelheißt es, dass RFC 2487 vorschreibt, dass alle öffentlich referenzierten (dh MX) Mailserver TLS nicht erzwingen:

Gemäß RFC 2487 darf dies bei einem öffentlich referenzierten SMTP-Server NICHT angewendet werden. Diese Option ist daher standardmäßig deaktiviert.

Also: Wie zutreffend / relevant ist die Dokumentation (oder der 15 Jahre alte RFC für diese Angelegenheit) und kann ich TLS für alle eingehenden SMTP-Verbindungen sicher erzwingen, ohne die Hälfte der ISPs der Welt auszusperren?

Dies ist eine sehr komplizierte Frage, da die Mail-Anbieter der Welt nicht ohne weiteres Statistiken über ihre Mail-Server bereitstellen.

Selbstdiagnose

Um die Antwort auf Ihre Frage anhand Ihrer eigenen Server- / Domänen-Peers zu ermitteln, können Sie die SSL-Protokollierung aktivieren:

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

Dies setzt voraus, dass Sie Ihre Mail-Syslog-Nachrichten für eine Weile speichern. Wenn nicht, richten Sie möglicherweise eine Syslog-Archivierungsstrategie ein und schreiben Sie ein Shell-Skript, um die TLS-Nutzung auf Ihrem Server zusammenzufassen. Vielleicht gibt es dafür bereits ein Skript.

Sobald Sie sicher sind, dass alle Ihre Kollegen TLS unterstützen und die Verschlüsselungs- und Protokollstärke erreichen, die Sie erzwingen möchten, können Sie eine fundierte Entscheidung treffen. Jede Umgebung ist anders. Es gibt keine Antwort, die Ihren Anforderungen entspricht.

Meine persönliche Erfahrung

Mein persönlicher Mailserver erzwingt TLS. Dies hat einen lustigen Nebeneffekt, da die meisten Spam-Bots negiert werden, da die meisten von ihnen TLS nicht unterstützen. (Bis zu dieser Änderung habe ich mich auf die S25R-Regexp-Methode verlassen.)

Aktualisieren

Es ist ein Jahr her, seit ich darauf geantwortet habe, und die einzigen Probleme, bei denen ich E-Mails mit TLS erhalten habe, waren die Front-End-Webserver von Blizzard (Kindersicherung) und das Verwaltungssystem von Linode. Alle anderen, mit denen ich interagiere, scheinen TLS mit starken Chiffren zu unterstützen.

Unternehmensumfeld

In einer Unternehmensumgebung würde ich Ihnen dringend empfehlen, die TLS-Protokollierung zu aktivieren und diese noch lange laufen zu lassen, bevor Sie TLS erzwingen. Sie können TLS für bestimmte Domänennamen in der Datei tls_policy jederzeit erzwingen.

postconf -d smtp_tls_policy_maps

Die Postfix-Site enthält einige großartige Dokumentationen zur Verwendung von tls-Richtlinienzuordnungen. Sie können zumindest sicherstellen, dass bestimmte Domänen, die vertrauliche Informationen bereitstellen, verschlüsselt werden, auch wenn ein ISP versucht, die TLS-Unterstützung bei der ersten Serververbindung zu entfernen.