PCI 扫描告诉我停止使用 TLS 1.0 发送电子邮件。我正在使用 postfix,所以我禁用了 TLS 1.0,1.0 的所有流量都停止了。然后第二天我查看了日志,发现有很多这样的情况...
connect from 66-220-155-139.outmail.facebook.com[66.220.155.139]
SSL_accept error from 66-220-155-139.outmail.facebook.com[66.220.155.139]: -1
warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640:
lost connection after STARTTLS from 66-220-155-139.outmail.facebook.com[66.220.155.139]
disconnect from 66-220-155-139.outmail.facebook.com[66.220.155.139]
我联系了几个服务器管理员。结果我们都在使用机会性 TLS,但我们没有通用的 TLS 协议,他们支持 1.0,我支持 1.2。经过一番谷歌搜索,我认为问题在于尝试协商 TLS 失败后无法恢复到未加密状态。
所以我的问题是。如何配置 postfix 以仅尝试使用 IP 地址/域的修复列表发送未加密的电子邮件?
答案1
好吧,我使用第二台服务器让它工作了。
server1 {only TLS 1.2} DNS of MX value 30
server2 {TLS 1.0, 1.1, 1.2} DNS of MX value 35
Internet --> Firewall(allow list of DNS email servers to server2)
--TLS(1.0)-> server2 --(with TLS1.2)-> server1
检查 server1 的日志以获取需要防火墙规则的服务器列表。
希望这种方法能让我在未来更好地控制 PCI 垃圾。
===编辑===
大约一个月后,我可以告诉你尝试禁用 TLS 1.0 很困难。我每天写大约 4 到 5 个例外。大多数是针对银行和金融相关的电子邮件服务器。此外,yahoo.com 和 paypal.com 不适用于此解决方案,它们只尝试第一个 MX,从不尝试第二个。我将请求例外并研究在云中运行我的垃圾邮件过滤器,这样我的电子邮件服务器就只需接受来自该云垃圾邮件过滤器的邮件。