Bonjour tout le monde,
Répondre me démangeait depuis le début de ce thread, je saute le pas (et le ton sera volontairement provocateur, en plus !) Ce sera a double tranchants, soit j'apporterai ma pierre à l'édifice soit je serai trainé devant la justice pour l'infamie mise en place sur certains de mes serveurs.
Contexte : j'ai développé des services de mail2fax. Des clients envoient des e-mails vers <numéro destinataire>@mon-tld, je converti ça en fax et hop, j'envoie ça au destinataire. Sur le serveur SMTP mis en place pour ça, y'a QUE du SMTP non authentifié. Pas de TLS, même pas de SSL. Rien, juste du SMTP en clair.
"Olala il a mal fait son travail, mort au roi !"
Sauf que dans mon cas, je m'en fiche un peu ! Pourquoi je m'emmerderais à mettre du TLS sur mon postfix ? Le risque est ou ?
La chose la plus sensible de l'e-mail, c'est la pièce jointe qui sera transmise ensuite par fax. Mais du coup, comme la partie la moins sécurisée est l'envoi du fax lui-même, implémenter TLS c'est fermer une fenêtre mais laisser la porte grande ouverte. L'implémenter ne serait pas pire, mais ça n'améliorerait pas non plus la situation, honnêtement.
Du coup, DMARC/DKIM/SPF sont déclarés pour mon fax2mail/mail2fax parce que ça améliore ma note de SPAM, mais tant que les providers de comptes e-mails ne me pénaliseront pas sur le fait que je ne fais que du non-chiffré sur ce service précis, bah je ne passerai pas plus de temps de mon côté. Le jour ou Google et Microsoft (parce que ce sont eux qui font tourner le monde des e-mails, grosso modo) décideront de me coller un malus, j'y jetterai un oeil.
(si vous avez des arguments contre, je suis preneur quand même :p)
Alexis
Le 03/04/2020 à 12:53, Jonathan Leroy - Inikup via FRsAG a écrit :
Salut,
Le ven. 3 avr. 2020 à 12:06, P. MARCHAND kikadisa@gmail.com a écrit :
Sauf que j'avoue être confronté à l'interopérabilité avec les serveurs SMTP tiers. J'ai pris la décision de "respecter" certains standard et actes conseillé, cependant je crois que cela est un poil barbare.
Il y a 2-3 ans, j'ai tenté la même chose sur une partie de mon infra : j'ai très rapidement dû faire un rollback devant l'état catastrophique des configurations TLS de la plupart des serveurs SMTP.
C'est triste à dire, mais ça va sûrement se terminer comme pour HTTPS : un beau jour Google, Yahoo! et Microsoft vont décréter que leurs serveurs ne parleront plus avec ceux n'ayant pas une configuration TLS valide et moderne. Et alors en 6 mois 90 % des serveurs SMTP de la planète seront mis à jour.
En l'état actuel des choses, activer une configuration TLS "moderne" en SMTP c'est forcer une bonne partie des mails à transiter en clair, malheureusement.