[FRsAG] Postfix et TLS. Comment bien paramétrer ses ciphers ?

Alexis alexis.prodhomme at sewan.fr
Lun 6 Avr 16:54:58 CEST 2020


Bonjour tout le monde,

Répondre me démangeait depuis le début de ce thread, je saute le pas (et 
le ton sera volontairement provocateur, en plus !)
Ce sera a double tranchants, soit j'apporterai ma pierre à l'édifice 
soit je serai trainé devant la justice pour l'infamie mise en place sur 
certains de mes serveurs.

Contexte : j'ai développé des services de mail2fax. Des clients envoient 
des e-mails vers <numéro destinataire>@mon-tld, je converti ça en fax et 
hop, j'envoie ça au destinataire.
Sur le serveur SMTP mis en place pour ça, y'a QUE du SMTP non 
authentifié. Pas de TLS, même pas de SSL. Rien, juste du SMTP en clair.

"Olala il a mal fait son travail, mort au roi !"

Sauf que dans mon cas, je m'en fiche un peu ! Pourquoi je m'emmerderais 
à mettre du TLS sur mon postfix ? Le risque est ou ?

La chose la plus sensible de l'e-mail, c'est la pièce jointe qui sera 
transmise ensuite par fax. Mais du coup, comme la partie la moins 
sécurisée est l'envoi du fax lui-même, implémenter TLS c'est fermer une 
fenêtre mais laisser la porte grande ouverte. L'implémenter ne serait 
pas pire, mais ça n'améliorerait pas non plus la situation, honnêtement.

Du coup, DMARC/DKIM/SPF sont déclarés pour mon fax2mail/mail2fax parce 
que ça améliore ma note de SPAM, mais tant que les providers de comptes 
e-mails ne me pénaliseront pas sur le fait que je ne fais que du 
non-chiffré sur ce service précis, bah je ne passerai pas plus de temps 
de mon côté.
Le jour ou Google et Microsoft (parce que ce sont eux qui font tourner 
le monde des e-mails, grosso modo) décideront de me coller un malus, j'y 
jetterai un oeil.

(si vous avez des arguments contre, je suis preneur quand même :p)

Alexis

Le 03/04/2020 à 12:53, Jonathan Leroy - Inikup via FRsAG a écrit :
> Salut,
>
>
> Le ven. 3 avr. 2020 à 12:06, P. MARCHAND <kikadisa at gmail.com> a écrit :
>> Sauf que j'avoue être confronté à l'interopérabilité avec les serveurs SMTP tiers.
>> J'ai pris la décision de "respecter" certains standard et actes conseillé, cependant je crois que cela est un poil barbare.
> Il y a 2-3 ans, j'ai tenté la même chose sur une partie de mon infra :
> j'ai très rapidement dû faire un rollback devant l'état catastrophique
> des configurations TLS de la plupart des serveurs SMTP.
>
> C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS
> : un beau jour Google, Yahoo! et Microsoft vont décréter que leurs
> serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS
> valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la
> planète seront mis à jour.
>
> En l'état actuel des choses, activer une configuration TLS "moderne"
> en SMTP c'est forcer une bonne partie des mails à transiter en clair,
> malheureusement.
>


Plus d'informations sur la liste de diffusion FRsAG