From: Sergey Matveev Date: Sun, 29 Dec 2024 11:04:43 +0000 (+0300) Subject: Отключил TLS на SMTP X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=27d147abe6e138f5fcaf5b4ea3b966165748e9ec;p=stargrave-blog.git Отключил TLS на SMTP Во второй раз заметил, что одного облака моё письмо не отправилось, так как наши сервера не могут подключиться по TLS. Причём, у меня даже нет настроек/ограничений на версию TLS. Обычный штатный OpenSSL и Postfix из портов FreeBSD. И политика TLS безопасности: may -- то есть мои серверы даже не требуют его использование. Я неоднократно видел, что люди отказываются поддерживать TLS на SMTP серверах. Но я удивлялся: ведь с may политикой, без ограничений на шифры и версии TLS, без обязательной проверки сертификатов, неужели что-то не будет работать? Убедился что да -- не будет, по хз каким причинам. Прежде я знал только gosuslugi.ru, который долгое время не поддерживал TLS 1.2+, если ничего не путаю. А ещё меня бесил gmail.com, который вроде бы и ML-KEM постквантовый может в SMTP TLS 1.3 согласовать, но не поддерживает Ed25519 сертификаты. Отказывается общаться с сервером при их использовании, никакого fallback-а не будет делать. ECDSA сертификаты я держал исключительно только на SMTP серверах своих. И в Google явно политика против Ed25519 сертификатов (слишком безопасны и хороши?). Задолбали все эти кривые руки/софт из-за которых SMTP не работает. Причём особенностью TLS в SMTP является полное отсутствие гарантий о том, что сообщение где-то дальше по пути не будет передано в открытом виде. Если мой web-обозреватель и web-сервер это как-бы (забываем про CDN) точка-точка соединение, то SMTP это множество hop-ов, где TLS между двумя не означает что весь будет был защищён TLS-ом. Пока отключил TLS вообще. Знаю что есть несколько почтовых провайдеров отказывающихся общаться не по TLS. Идут в жопу. Ибо это театр безопасности в контексте SMTP. А скоро (или уже, просто не замечал?) наверняка особо продвинутые админы будут требовать валидности сертификатов, очевидно проверяемых напротив НАТОвских якорей доверия. ---