Fügen Sie Warnungen zu E-Mails hinzu, die von Postfix ohne TLS empfangen wurden

8

Ist es mit Postfix möglich, allen E-Mails, die über eine Klartextverbindung (Nicht-TLS) empfangen werden, eine Warnung hinzuzufügen?

Zum Beispiel das Ändern des Betreffs und / oder das Hinzufügen eines benutzerdefinierten Headers.

Dr. Haribo
quelle
4
Ich weiß nicht, ob es möglich ist, aber es wäre sinnlos: Sie können nur wissen, ob die Verbindung vom vorletzten Relais zum letzten Relais TLS verwendet hat, Sie können nichts über frühere Sprünge wissen. Wenn Sie E-Mail-Sicherheit wünschen, verwenden Sie PGP oder S / MIME.
Gilles 'SO - hör auf böse zu sein'
2
Ich bin damit einverstanden, dass eine End-to-End-Verschlüsselung erforderlich ist, um E-Mails privat zu halten. In den letzten Nachrichten wurde berichtet, dass Google Mail etwas Ähnliches wie das von mir beschriebene bereitstellen wird, und ich habe mich gefragt, wie schwierig es sein würde, dies auf dem eigenen E-Mail-Server zu tun. Ich denke es wäre interessant zu sehen.
Dr. Haribo

Antworten:

5

Um dies zu erreichen, müssen Sie Postfix zunächst anweisen, den TLS-Verbindungsstatus in den Header " Empfangen" aufzunehmen . Zusätzlich /etc/postfix/main.cfhinzufügen

smtpd_tls_received_header = yes

Dadurch wird (using TLSv1.2 with cipher … (256/256bits))dem vom Postfix generierten empfangenen Header so etwas hinzugefügt . Diese Informationen können dann verwendet werden, um benutzerdefinierte Header hinzuzufügen. Beispielsweise könnte man einen X-Transport-Layer-SecurityHeader hinzufügen und seinen Wert abhängig davon festlegen, ob das obige Snippet im empfangenen Header vorhanden ist. Mögliche Methoden hierfür sind:

  • Schreiben eines benutzerdefinierten Inhaltsfilters, der von Postfix aufgerufen wird,
  • Verwenden von Sieve-Skripten zum Bearbeiten der Nachricht oder
  • Verwenden Sie einige der Billiarden anderer Methoden, um Nachrichten zu verarbeiten (Proxy, Milter usw.).

Ich kenne keine vorgefertigte Lösung dafür, aber es sollte auch nicht viel Arbeit sein.

Tarleb
quelle
1
Ja, die editheaderErweiterung von Sieve ist möglicherweise der einfachste Weg. Infos hier: mvmf.org/docs/draft-degener-sieve-editheader-00.txt (Abschnitt 5). Um Ihre E-Mail an die Sieve-Regeln zu senden, möchten Sie möglicherweise meiner Antwort hier folgen: unix.stackexchange.com/a/252907/23085 . Gehen Sie genauso vor, leiten Sie die E-Mails jedoch direkt an die lokale Dovecot-Zustellung weiter und erfordern Sie eine editheaderErweiterung. Der Code sollte leicht zu finden sein, wenn Sie den Beispielen auf dem Link folgen.
TCB13
1
Für Thunderbird gibt es ein Add-On namens Paranoia, das ein fröhliches, neutrales oder trauriges Smiley-Gesicht zeigt, je nachdem, ob empfangene Header Verschlüsselung anzeigen oder nicht.
Dr. Haribo