SMTP TLS enkripcija

Pravilno sklepaš. Čeprav največji uporabljajo TLS pri pošiljanju in prejemanju sporočil, je še zdaleč ne uporabljajo vsi. Samo pomisli na vse administratorje, ki imajo strežnike, kot ga imaš ti in, ki jim še ni padlo na misel, da bi vključili TLS.

Če boš za dohodno pošto zahteval TLS, pošiljatelj pa tega ne bo podpiral, potem pošta ne bo dostavljena. Pošiljatelj bo praviloma (odvisno od nastavitev strežnika na njihovi strani) obveščen, da sporočilo ni bilo dostavljeno, ti pa o temu verjetno ne boš vedel nič.

Če boš za odhodno pošto zahteval TLS, prejemnik pa tega ne bo podpiral, potem pošta tudi ne bo dostavljena. O temu bo znova obveščen pošiljatelj (če boš svoj strežnik tako nastavil), kot vzdrževalec strežnika pa boš lahko v dnevniških zapisih videl kdaj in pri komu je do tega prišlo, še preden bo sporočilo odstranjeno iz odhodne čakalne liste.

Razen to, da tvoj strežnik potem krši RFC 3207 bi mogla vsa pošta prispet do tebe, saj jo bo vsak proper smtp strežnik dostavil na sekundarni MX, ki se bo obnašal pravilno in jo posredoval tebi.

Bo pa tako kot omenjeno zgoraj pošiljatelj obveščen o tem, da potša ni bila dostavljena (če bi prišlo do tega), seveda z nekaj zamika.

Vsaj za enkrat ne opažam, da kakšen legitimni mail nebi bil dostavljen.
Ravno tako mi še nihče ni javil, da bi prejel obvestilo o nedostavljivosti pošte.

Se je pa razmerje legitimne/spam pošte spremenil iz 40% na 88%, pa še tega je 2/3 v kategoriji Bulk mail.

Me pa malo jezi to neskladje z RFC 3207, saj predvidevam, da se bo vsul plaz spama takoj, ko bom prestavil na TLS enkripcijo na 'preferred'.
Dejansko v RFC-ju dobesedno piše "A publicly-referenced SMTP server MUST NOT require use of the STARTTLS extension in order to deliver mail locally.", kar po svoje vsiljuje 'preferred' opcijo.
Vendar pa navaja kot razlog "This rule prevents the STARTTLS extension from damaging the interoperability of the Internet's SMTP infrastructure". Ta 'Interoperabilnost' pa je vendarle deloma pokrita preko sekundarnega MX strežnika, ki pa sprejema tudi pošto z 'nekompatibilnih' strežnikov.

Po svoje bi mi bilo ljubše, če bi v RFC pisalo "Any internet facing mail server must support STARTTLS". Žal smo od tega očitno še nekaj Snowdenov oddaljeni.

Dilema je torej ustreči RFC-ju (v celoti) ali ne. Kakšno menite?

P.S. - sam spam sicer učinkovito filtriram lokalno v karanteno, tako da 'plaz' nebi pomenil konec sveta.

Je pa tako lepo videt, ko je karantena praktično prazna!

@SeMiNeSanja

RFC ne domneva, da imaš sekundarni MX, pač pa zahteva maksimalno kompatibilnost.

Bogus primarni MX je tak lušten hack, ki izkorišča failover mehanizme znotraj SMTP in glupe spambote, ki tega ne podpirajo.

Seveda gre kompletna uporabnost v kanto ko spamerju ni več pomembna količina poslanega ampak procent dejansko dostavljene pošte. Tam še potem prideš na območje spear-phishinga. Za običen bulkmail je preverjanje sekundarnega MX preveč potratno.

P.S.
Sicer se večkrat opazi spambote, da pošiljajo mail na MX z nižjo prioriteto v upanju da ima slabše spam filtre.

Nekako imam občutek, da bom TLS enkripcijo prestavil na 'preferred'.

Dejansko mi več pomeni promptna dostava maila (brez delayev), kot pa prazna spam karantena, pa naj bo še tako lepo za videt.
Iz istega razloga tudi ne maram greylistinga, ki vnaša nepotrebne delaye (in še kake druge težave).
Tudi bogus MX vnaša delay pri dostavi, ki ga ne želim imeti.

Zoprno je namreč nekomu nuditi tehnično podporo in pri tem čakat, kdaj misli prispeti mail s screenshotom njegovih težav.