인바운드 SMTP 연결에서 강제 TLS는 얼마나 광범위하게 지원됩니까?

표준 Postfix, SpamAssassin, ClamAV, SPF / DKIM 확인 등으로 구성된 MTA를 실행합니다.이 MTA는 인바운드 전자 메일에만 사용되며 계정을 호스팅하지 않으며 해당 확인을 통과 한 모든 메일을 공유 웹 호스트로 전달합니다.

서버로 메일을 배달하려고 할 때 일부 전자 메일 서비스가 일반 텍스트보다 먼저 TLS 연결을 시도하고 있음을 알고 있습니다.

모든 서비스가 TLS를 지원하지는 않는다는 것을 알고 있지만 뇌의 OCD 보안 측면을 만족시킬 수 있도록 얼마나 잘 채택되어 있는지 궁금합니다. ...).

후위 문서 에 대한 smtpd_tls_security_level것이 주 RFC 2487 법령이 공개적으로 참조 된 (즉, MX) mailservers가 TLS를 강제하지 않는 것이 :

RFC 2487에 따르면 공개적으로 참조되는 SMTP 서버의 경우에는 적용해서는 안됩니다. 따라서이 옵션은 기본적으로 해제되어 있습니다.

따라서 : 문서 (또는 그 문제에 대한 15 세 RFC)는 어떻게 적용 가능하고 관련이 있으며 전 세계 ISP의 절반을 잠그지 않고 모든 인바운드 SMTP 연결에서 TLS를 안전하게 강제 할 수 있습니까?

전 세계의 메일 제공 업체가 메일 서버에 대한 통계를 쉽게 제공하지 못한다는 점을 고려하면 매우 복잡한 질문입니다.

자기 진단

자체 서버 / 도메인 피어를 기반으로 질문에 대한 답변을 확인하려면 SSL 로깅을 활성화하면됩니다.

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

이것은 메일 시스템 로그 메시지를 잠시 동안 저장한다고 가정합니다. 그렇지 않은 경우, syslog 아카이브 전략을 설정하고 서버에서 TLS 사용법을 요약하는 쉘 스크립트를 작성하십시오. 아마도 이것을하기위한 스크립트가 이미있을 것입니다.

모든 동료가 TLS를 지원하고 기꺼이 시행 할 암호화 및 프로토콜 수준을 지원하는 것이 편한 경우, 정보에 입각 한 결정을 내릴 수 있습니다. 모든 환경이 다릅니다. 귀하의 요구를 충족시키는 답변은 없습니다.

내 개인적인 경험

가치있는 것을 위해, 나만의 개인 메일 서버는 TLS를 시행합니다. 대부분의 스팸 봇은 TLS를 지원하지 않기 때문에 대부분의 스팸 봇을 무효화하는 재미있는 부작용이 있습니다. (그 변경까지, 나는 S25R 정규식 방법론에 의존하고 있었다)

최신 정보

이 답변에 답한 지 1 년이 지났으며 TLS로 이메일을 수신 한 유일한 문제는 Blizzard (부모 통제)의 프런트 엔드 웹 서버와 Linode 관리 시스템에서 발생했습니다. 내가 상호 작용하는 다른 사람들은 모두 강력한 암호로 TLS를 지원하는 것으로 보입니다.

기업 환경

회사 환경에서는 TLS 로깅을 사용하도록 설정하고 TLS를 시행하기 전에 오랫동안 실행 상태를 유지하는 것이 좋습니다. tls_policy 파일에서 특정 도메인 이름에 대해 항상 TLS를 시행 할 수 있습니다.

postconf -d smtp_tls_policy_maps

postfix 사이트에는 tls 정책 맵 사용법에 대한 훌륭한 문서가 있습니다. ISP가 초기 서버 연결에서 TLS 지원을 제거하려고 시도하더라도 민감한 정보를 제공하는 특정 도메인이 암호화되도록 할 수 있습니다.