Hi zusammen,
ich habe folgende Problemstellung:
Folgt man den Best Practice Einstellungen für das Mail Gateway (https://wiki.securepoint.de/UTM/APP/Mailrelay-Best_Practice) ergibt sich unter "TLS Verschlüsselung als Client" mit der Einstellung "encrypt" folgender Case:
Im Hintergrund konfiguriert die Securepoint UTM unter /etc/postfix/main.cf
# default "outgoing" tls level
smtp_tls_security_level = encrypt
grundsätzlich soweit korrekt
Was jedoch fehlt ist die Anpassung der „tls_policy“.
Denn diese entspricht aktuell dem „default“ = leer
Heißt…
Postfix behandelt fehlendes STARTTLS als temporären Fehler (4xx) und möchte daher die Mails immer wieder zustellen.
Nach RFC 5321 müsste jedoch in diesem Fall ein permanenter Fehler (5xx) erfolgen, was sich mittels „tls_policy“ umsetzen lässt.
Also müsste „* encrypt“ in der „tls_policy“ enthalten sein?
Aktuell ist das so doch nicht RFC konform oder?
Oder liege ich hier falsch?
Des weiteren meine Frage
Könnte ich auf der UTM auch „smtpd_tls_security_level“ auf „encrypt“ setzen (also sämtlichen Inbound Traffic)?
Einstellung wird von UTM beim Dienst neustarten bzw. Cluster Sync verworfen. (nur interessehalber)
Ich freue mich auf Feedback!
Mail Gateway nicht RFC 5321 konform?
Moderator: Securepoint
-
JulianNeuhaus
- Beiträge: 7
- Registriert: Mi 08.10.2025, 16:09
Hallo Herr Neuhaus,
mittels smtp_tls_security_level = encrypt wird ein fallback-default gesetzt für den Fall, dass kein spezifischerer Eintrag in smtp_tls_policy_maps gefunden wird. Ein Eintrag * encrypt dort wäre quasi äquivalent. Der generierte Fehlerstatuscode kommt in diesem Fall (bei Kommunikation mit einem Server, der kein TLS anbietet) von postfix selbst und leitet sich nicht unmittelbar aus einem RFC ab. Falls Sie das Mailrelay auch zur Mail-Submission verwenden, empfehlen wir Ihnen zunächst die Option auf may zu setzen um solche Probleme zu vermeiden.
Ein Feature, mit dem die tls-Policy per Domain konfiguriert werden kann ist bereit auf unserer Feature-Liste und wir werden auch unser Best Practice an der Stelle noch etwas überarbeiten.
Vielen Dank für Ihren Hinweis, ich habe diesen bei uns intern auch noch mal mit aufgenommen.
Mit freundlichem Gruß
M. Brill-Labenz
mittels smtp_tls_security_level = encrypt wird ein fallback-default gesetzt für den Fall, dass kein spezifischerer Eintrag in smtp_tls_policy_maps gefunden wird. Ein Eintrag * encrypt dort wäre quasi äquivalent. Der generierte Fehlerstatuscode kommt in diesem Fall (bei Kommunikation mit einem Server, der kein TLS anbietet) von postfix selbst und leitet sich nicht unmittelbar aus einem RFC ab. Falls Sie das Mailrelay auch zur Mail-Submission verwenden, empfehlen wir Ihnen zunächst die Option auf may zu setzen um solche Probleme zu vermeiden.
Ein Feature, mit dem die tls-Policy per Domain konfiguriert werden kann ist bereit auf unserer Feature-Liste und wir werden auch unser Best Practice an der Stelle noch etwas überarbeiten.
Vielen Dank für Ihren Hinweis, ich habe diesen bei uns intern auch noch mal mit aufgenommen.
Mit freundlichem Gruß
M. Brill-Labenz