我有一个启用了机会性 TLS 的邮件服务器(Postfix smtpd_tls_security_level = may),但是 SMTP 横幅被我们 FWSM 上的 SMTP 修复程序屏蔽。在我禁用此屏蔽之前,是否需要为机会性 TLS 配置的其他邮件服务器使用 SMTP 横幅来协商传入邮件的 TLS 会话?我读到过,如果横幅中没有该术语,Postfix 可能不会使用 ESMTP。
横幅被星号遮住:220 *************************************
答案1
我认为这里有两个不同的问题,所以我将分别回答它们。
问题 1:其他邮件服务器是否需要显示未屏蔽的 SMTP Banner 才能使用 TLS?
回答:不,SMTP 问候横幅本身并不能决定 TLS 资格。因此,如果这是仅有的被掩盖的东西,它不应该引起问题。
问题 2(释义):防火墙是否会干扰传入的 TLS 连接?
回答:很有可能。除了屏蔽问候横幅外,Cisco 防火墙上的 fixup/esmtp 检查服务通常只接受特定命令。
我不确定你使用的是什么版本/型号的防火墙,但根据这个技术说明:
ESMTP 检查的运行方式与 SMTP 检查相同。包含非法命令的数据包将被修改为“xxxx”模式并转发到服务器,从而触发否定答复。非法 ESMTP 命令是除以下命令之外的任何命令:
AUTH DATA EHLO ETRN HELO HELP HELP MAIL NOOP QUIT RCPT RSET SAML SEND SOML VRFY
当外部服务器连接并发出ehlo
SMTP 命令时,它们将看到支持的 SMTP 服务/选项列表。假设它们看到250-STARTTLS
发送服务器将发出STARTTLS
命令以开始尝试使用 TLS。您会注意到此命令未包含在上面的命令列表中。
总而言之,我怀疑您的防火墙确实在干扰,但不是因为横幅问候。我认为它阻止/屏蔽了来自远程邮件服务器的 STARTTLS 命令。