Demande de conseil admin sys / postfix (on s'occupe comme on peut ^^) 

Dans ma conf postfix j'ai mis smtpd_tls_security_level = encrypt
Je me rends compte que certains serveurs sont refoulés ("Must issue a STARTTLS command first")
Dans la doc postfix, ils déconseillent de laisser ce parametre à encrypt : postfix.org/postconf.5.html#sm
Mais du coup pour confirmer ce que je comprends : je vais autoriser des échanges entièrement en clair?
Quel valeur vous conseilleriez, c'est ok de mettre en "may"?
Merci!

Demande de conseil admin sys / postfix (on s'occupe comme on peut ^^) 

Pour continuer sur ma lancée, j'ai mis smtpd_tls_security_level = may et je reçois bien les mails des serveurs plus laxistes que moi.
J'avais smtpd_tls_auth_only=yes, mais il semble que ca m'empêche d'envoyer à ces serveurs ... ("TLS is required, but was not offered by host")
Du coup je suis contraint de le laisser à no . Ca m'embête mais est-ce que c'est une bonne pratique? (les tutos que j'ai suivi le mettaient à yes... :/)

Afficher le fil de discussion
Suivre

Demande de conseil admin sys / postfix (on s'occupe comme on peut ^^) 

@Pyves Salut,

smtpd_tls_auth_only permet de s'assurer lorsque tu fais du SMTP authentifié (par exemple de l'envoie de mail depuis ton client), que la transaction soit chiffrée via TLS.
Histoire d'être sûr de pas transmettre de login/pass en clair si l'option smtpd_tls_security_level est à "may".
La bonne pratique est de laisser absolument sur "yes" et de voir pour quoi le serveur n'a pas voulu négocier de TLS avec ton client.

· · Web · 1 · 0 · 1

Demande de conseil admin sys / postfix (on s'occupe comme on peut ^^) 

@pogo @Pyves
Il est également conseillé de continuer à utiliser TLSv1 minimum. Par exemple les smtp d'orange n'échangent qu'avec TLSv1.0. Si TLSv1.2 minimum est requis, alors les mails d'orange arriveront depuis une connexion en claire.

Demande de conseil admin sys / postfix (on s'occupe comme on peut ^^) 

@thomasbourdon @pogo
Merci Thomas, tu mets le doigt sur qqch, j'ai p-ê été trop strict dans les algos. (finalement je m'étais planté, smtpd_tls_auth_only à no ne résout pas mon pb, mais je mets 3j à le voir...)

Du coup j'ai toujours le problème de "TLS is required, but was not offered by host".

Question complémentaire, c'est quoi la bonne pratique pour les algos en 2020? ce que j'ai chez moi :
framabin.org/p/?550653fcb96e9a

Inscrivez-vous pour prendre part à la conversation
Mastodon - roflcopter.fr

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !