Suivre

SMTPS via le port 25 c'est possible ?! 🤔
Parce que j'ai l'impression que c'est ce qu'il se passe lors de mes essais de mise en place sur Postfix. Si je mets 465/587 en port sur mon application web l'envoi de mail ne fonctionne pas, mais si je met 25 cela fonctionne !

@aeris On est d'accord que normalement SMTPS c'est via le port 465 ou 587 en toute logique ?

@Qwaser 465 est supposé être submissions, et 587 submission.

@Qwaser Et si tu parles de mettre submissions sur le 25, alors non, c’est rigoureusement interdit de faire du TLS implicite dessus.

@aeris J'ai appliqué ceci sur ma configuration Postfix fonctionnel sans TLS : wistee.fr/installer-ssl/active

SMTPS =/= STARTTLS si tu poses la question ^^

Donc en gros ce n'est pas bon que cela fonctionne uniquement si je met le port 25... Mais en mettant 465 ou 587 ça ne fonctionne plus l'envoi, donc il doit y avoir un paramètre dans la configuration Postfix pour lui indiquer cela 🤔

@Qwaser Quand je vois ça déjà, je n’ai même pas envie de passer à la suite…

@Qwaser 1- acheter un certificat, non mais réellement ?
2- SMTP ne vérifie pas les CA, c’est explicitement demandé dans les RFC, donc même un auto-signé ça passe

@aeris Je prends note pour le certificat, mais j'avais repris le wilcard de mon domaine de toute façon ^^

Donc en gros ça ne fait pas de TLS cette configuration c'est ça ? Ou de la mauvaise manière qui soit ?

@Qwaser De la plus mauvaise manière qu’il soit.
SMTP ne supporte pas les erreurs de négociation. Si ça merde, on rebalance tout en clair derrière. Donc les configs doivent minimiser les erreurs de négo, ie activer le plus de choses possibles dans TLS, y compris des choses complètement pourries.
Mieux vaut du SSL moisi que du clair complètement pété.

@Qwaser Du coup il faut activer toutes les versions de TLS (de 1.0 à 1.3), et activer le maximum de ciphers possibles (y compris du 3DES et du RC4).

@Qwaser Et bien entendu la même sur l’entrant et le sortant.

@Qwaser C’est même tout l’intérêt de séparer smtp de submission.
SMTP est nécessairement en TLS explicite, avec le maximum de ciphers dispo y compris moisi, avec un antispam/antivirus à l’entrée, et non authentifié.
Submission est en TLS implicite, avec des ciphers réduites, sans antispam/antivirus et nécessairement authentifié.

@aeris @Qwaser Du coup y’aurais moyen d’avoir un exemple de conf ou autre. Parce qu’au final, même les paramètres par défaut interdisent certains ciphers et autres.

@breizh @aeris Oui c'est vrai que par défaut certains sont automatiquement interdit 😉

Pour ma part j'ai pris ce qu'il y avait dans le lien fournit plus haut, mais j'ai bien compris que ce n'était pas l'optimum ^^ Donc je suis preneur également :)

@Qwaser @breizh Non, par défaut il y a tout y compris RC4

tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH

@Qwaser @breizh Mais en gros ce n’est pas compliqué, pour un MTA on laisse tout par défaut. Ça marche bien

@aeris @breizh Donc c'est le raisonnement inverse d'un serveur web où on cherche le plus "blindé" possible 😜

Et si on parle d'un serveur mail complet avec postfix, devcot, (réception et envoi donc) le raisonnement est identique ? :)

En tout cas toujours un grand merci pour tes retours Aeris ! 👍

@Qwaser @breizh Pour un postfix+dovecot, la partie envoi et réception, c’est le défaut aussi.
C’est uniquement la partie submission que tu peux blinder justement

@aeris @breizh C'est quel soft qui gère cette partie dans ce cas ? 🤔
Car dans les tutoriels que je vois, ça parle principalement de postfix + dovecot avec du spamassassin et mise en place d'une interface web pour la gestion :)

Afficher plus

@aeris Donc si je comprends bien, le problème ici est qu'on restreint trop les ciphers et SSL/TLS ? Et que ça risque de plus finir en clair que chiffré ?
C'est juste un serveur d'envoi de mail pour une application web, il n'en reçoit pas. Mais entendu pour les deux côtés !

Du coup niveau port, c'est comme ceci ?
Submission = 587
Submissions = 465
SMTP = 25

@Qwaser Si c’est un serveur d’envoi de mail, alors je ne vois pas ce que submission vient faire là
L’envoi de mail ne peut être que sur 25

@Qwaser Les communications MTA/MTA sont toujours et exclusivements sur le port 25
Submission ne peut servir que pour les communications MUA/MTA

@Qwaser Et SMTPS ne peut pas être utilisé dans le cas du MTA/MTA. STARTTLS au mieux.

Inscrivez-vous pour prendre part à la conversation
Mastodon by Qwaser

Instance Mastodon personnelle de Qwaser mise en place sous Archlinux.