Mail Gateway nicht RFC 5321 konform?
Verfasst: Mo 08.12.2025, 16:40
Hi zusammen,
ich habe folgende Problemstellung:
Folgt man den Best Practice Einstellungen für das Mail Gateway (https://wiki.securepoint.de/UTM/APP/Mailrelay-Best_Practice) ergibt sich unter "TLS Verschlüsselung als Client" mit der Einstellung "encrypt" folgender Case:
Im Hintergrund konfiguriert die Securepoint UTM unter /etc/postfix/main.cf
# default "outgoing" tls level
smtp_tls_security_level = encrypt
grundsätzlich soweit korrekt
Was jedoch fehlt ist die Anpassung der „tls_policy“.
Denn diese entspricht aktuell dem „default“ = leer
Heißt…
Postfix behandelt fehlendes STARTTLS als temporären Fehler (4xx) und möchte daher die Mails immer wieder zustellen.
Nach RFC 5321 müsste jedoch in diesem Fall ein permanenter Fehler (5xx) erfolgen, was sich mittels „tls_policy“ umsetzen lässt.
Also müsste „* encrypt“ in der „tls_policy“ enthalten sein?
Aktuell ist das so doch nicht RFC konform oder?
Oder liege ich hier falsch?
Des weiteren meine Frage
Könnte ich auf der UTM auch „smtpd_tls_security_level“ auf „encrypt“ setzen (also sämtlichen Inbound Traffic)?
Einstellung wird von UTM beim Dienst neustarten bzw. Cluster Sync verworfen. (nur interessehalber)
Ich freue mich auf Feedback!
ich habe folgende Problemstellung:
Folgt man den Best Practice Einstellungen für das Mail Gateway (https://wiki.securepoint.de/UTM/APP/Mailrelay-Best_Practice) ergibt sich unter "TLS Verschlüsselung als Client" mit der Einstellung "encrypt" folgender Case:
Im Hintergrund konfiguriert die Securepoint UTM unter /etc/postfix/main.cf
# default "outgoing" tls level
smtp_tls_security_level = encrypt
grundsätzlich soweit korrekt
Was jedoch fehlt ist die Anpassung der „tls_policy“.
Denn diese entspricht aktuell dem „default“ = leer
Heißt…
Postfix behandelt fehlendes STARTTLS als temporären Fehler (4xx) und möchte daher die Mails immer wieder zustellen.
Nach RFC 5321 müsste jedoch in diesem Fall ein permanenter Fehler (5xx) erfolgen, was sich mittels „tls_policy“ umsetzen lässt.
Also müsste „* encrypt“ in der „tls_policy“ enthalten sein?
Aktuell ist das so doch nicht RFC konform oder?
Oder liege ich hier falsch?
Des weiteren meine Frage
Könnte ich auf der UTM auch „smtpd_tls_security_level“ auf „encrypt“ setzen (also sämtlichen Inbound Traffic)?
Einstellung wird von UTM beim Dienst neustarten bzw. Cluster Sync verworfen. (nur interessehalber)
Ich freue mich auf Feedback!