Supporto SSL Postfix

Per verificare i protocolli di cifratura supportati dal server ad esempio sulla connessione 587/TCP submission si può utilizzare nmap con lo script ssl-enum-ciphers (forniti dai pacchetti Debian nmap e nmap-common rispettivamente).

Questo è un esempio su una Debian 12 Bookworm con Postfix 3.7.6:

nmap --script ssl-enum-ciphers -p 587 mail.rigacci.org | grep TLSv
|   TLSv1.0: 
|   TLSv1.1: 
|   TLSv1.2: 
|   TLSv1.3: 

Su una Debian 9 Stretch con Postfix 3.1.15 manca il protocollo TLSv1.3.

È possibile fare la stessa interrogazione anche sulla porta 25/TCP smtp, anche se in generale la crittografia sulla posta in arrivo dovrebbe essere facoltativa (maggio 2024).

Ecco alcuni parametri di Postfix relativi ai protocolli di cifratura supportati (Postfix 3.7.6 su Debian 12 Bookworm):

smtpd_tls_security_level = may
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = >=TLSv1
smtpd_tls_protocols = >=TLSv1
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH

Gli stessi parametri predefiniti in Debian Postfix 3.1.15:

smtpd_tls_security_level = may
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH