带有掩蔽 SMTP 横幅的传入邮件的机会性 TLS

带有掩蔽 SMTP 横幅的传入邮件的机会性 TLS

我有一个启用了机会性 TLS 的邮件服务器(Postfix smtpd_tls_security_level = may),但是 SMTP 横幅被我们 FWSM 上的 SMTP 修复程序屏蔽。在我禁用此屏蔽之前,是否需要为机会性 TLS 配置的其他邮件服务器使用 SMTP 横幅来协商传入邮件的 TLS 会话?我读到过,如果横幅中没有该术语,Postfix 可能不会使用 ESMTP。

横幅被星号遮住:220 *************************************

答案1

我认为这里有两个不同的问题,所以我将分别回答它们。

问题 1:其他邮件服务器是否需要显示未屏蔽的 SMTP Banner 才能使用 TLS?

回答:不,SMTP 问候横幅本身并不能决定 TLS 资格。因此,如果这是仅有的被掩盖的东西,它不应该引起问题。

问题 2(释义):防火墙是否会干扰传入的 TLS 连接?

回答:很有可能。除了屏蔽问候横幅外,Cisco 防火墙上的 fixup/esmtp 检查服务通常只接受特定命令。

我不确定你使用的是什么版本/型号的防火墙,但根据这个技术说明

ESMTP 检查的运行方式与 SMTP 检查相同。包含非法命令的数据包将被修改为“xxxx”模式并转发到服务器,从而触发否定答复。非法 ESMTP 命令是除以下命令之外的任何命令:

AUTH
DATA
EHLO
ETRN
HELO
HELP
HELP
MAIL
NOOP
QUIT
RCPT
RSET
SAML
SEND
SOML
VRFY

当外部服务器连接并发出ehloSMTP 命令时,它们将看到支持的 SMTP 服务/选项列表。假设它们看到250-STARTTLS发送服务器将发出STARTTLS命令以开始尝试使用 TLS。您会注意到此命令未包含在上面的命令列表中。

总而言之,我怀疑您的防火墙确实在干扰,但不是因为横幅问候。我认为它阻止/屏蔽了来自远程邮件服务器的 STARTTLS 命令。

相关内容