TLS Erzwingen für bestimmte Domainen

[mmo]

Hallo,

ich habe vor unsere Ironport durch ein Proxmox mail GW zu ersetzen. Wir haben aktuell Domains bei denen wir die TLS Encryption erzwingen. Heißt wen eine mail unverschlüsselten weges bei uns eingehen soll lehnen wir das für diese Spezielle Domain ab.

Wie kann ich das jetzt in Proxmox MGW realisieren um das ganze in unserem Testsystem einmal durch zu spielen bevor wir ganz schwenken.

beste grüße

mmo

 

[Stoiko Ivanov]

Hallo,

ich habe vor unsere Ironport durch ein Proxmox mail GW zu ersetzen. Wir haben aktuell Domains bei denen wir die TLS Encryption erzwingen. Heißt wen eine mail unverschlüsselten weges bei uns eingehen soll lehnen wir das für diese Spezielle Domain ab.

Wie kann ich das jetzt in Proxmox MGW realisieren um das ganze in unserem Testsystem einmal durch zu spielen bevor wir ganz schwenken.

beste grüße

mmo

* PMG kann outbound TLS enforcen (GUI->Configuration->Mail Proxy->TLS->Destination Policy)
(siehe section 4.7.9 unter https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_mail_proxy_configuration)
* Eingehend ist das derzeit noch nicht moeglich - siehe https://bugzilla.proxmox.com/show_bug.cgi?id=2437

Ich hoffe das hilft!

 

[mmo]

Hallo Stoiko,

danke für die Info das ist aber schade das inbound nicht geforced werden kann. Grade das ist bei uns tatsächlich nicht ganz unwichtig.
Scheint aber nicht von vielen genutzt werden zu wollen. Der Bugreport ist ja nun schon über 1 Jahr alt.

danke trozdem

mmo

 

[Stoiko Ivanov]

Scheint aber nicht von vielen genutzt werden zu wollen.

Meiner bisherigen Erfahrung nach, ist enforced TLS und SMTP so eine Sache - mittlerweile sollten ohnehin die meisten mails dank opportunistic TLS verschlüsselt über die Leitung gehen. Wenn es zur Gänze enforced wird, kommen die Admins meist drauf, wie viele mails dann auf einmal nicht mehr gehen (und stellen die Config wieder zurück...) .

Prinzipiell ist es aber nicht allzu schwer inbound TLS zu enforcen - es muss die postfix config etwas angepasst werden (wie ist im bugreport grob beschrieben, bei PMG muss die postfix config über das templateing system angepasst werden [0]) .
Der einzige Nachteil daran ist, dass das nicht über die GUI geht sondern nur über die command-line.

[0] https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_template_engine

 

[Attack44]

Wie verhält es sich mit der Domain Eingabe, sind dann auch alle Subdomänen betroffen?
Ich möchte z.B. das TLS erzwungen wird wenn etwas test.de geht, aber auch an sämtliche Subdomänen.

Gruß,
Andreas

 

[Stoiko Ivanov]

a) eingehendes enforcen ist mittlerweile auch über die GUI möglich: https://bugzilla.proxmox.com/show_bug.cgi?id=2437

Ich möchte z.B. das TLS erzwungen wird wenn etwas test.de geht, aber auch an sämtliche Subdomänen.

da würde ich prinzipiell empfehlen solche Sachen einfach mal zu testen - geht meist schneller als hier eine Antwort zu bekommen...
nach einem kurzen Test: ja es werden automatisch alle subdomains auch gematched bei inbound TLS enforcement
background: inbound tls wird über einen check_sender_access (https://www.postfix.org/postconf.5.html#check_sender_access) bei den smtpd_sender_restrictions gemacht - und in der access tables Dokumentation wird beschrieben wie das mit den subdomains gehandhabt wird:
https://www.postfix.org/access.5.html