টিএলএস হ্যান্ডশেক ব্যর্থ হলে কীভাবে সেন্ডমেল ফ্যালব্যাক আচরণ পরিবর্তন করবেন?

আমার কাছে একটি সেন্টোস 5.x সার্ভার চলছে যা পাঠানো কিছু পাঠাও যা কিছু বিভিন্ন প্রাপক সার্ভারের সাথে টিএলএসের সাথে আলোচনা করতে ব্যর্থ হচ্ছে। আমি এটি খতিয়ে দেখছি।

তবুও আমি লক্ষ করেছি যে টিএলএস হ্যান্ডশেকের ত্রুটি দেখা দিলে প্রেরণমেল মানহীন এনক্রিপ্ট করা বিতরণ পদ্ধতিগুলি ব্যবহার করতে পিছনে পড়তে বিরক্ত করবে না। এটা কি স্বাভাবিক আচরণ?

আমি এই যুক্তিটি স্থিতাবস্থায় প্রত্যাশা করব যদি (এবং কেবলমাত্র) আমি স্পষ্টভাবে ডোমেনগুলির জন্য এটি প্রয়োজন required উদাহরণস্বরূপ যদি আমি / ইত্যাদি / মেল / অ্যাক্সেসে টিএলএস_এসআরভি বিকল্পগুলি যুক্ত করি। এই ক্ষেত্রে, আমি না। সংক্ষেপে, সেন্ডমেল কেবল "সুবিধাবাদী টিএলএস" চালাচ্ছে।

আমি এ পর্যন্ত আসা সমস্ত তথ্য থেকে বোঝা যায় যে এই সমস্যাটি প্রত্যাশিত আচরণ এবং কঠোর কোডেড ...

অনুযায়ী http://www.sendmail.org/m4/starttls.html#disable_starttls :

ডিফল্টরূপে STARTTLS যখনই সম্ভব ব্যবহার করা হয়। তবে, কিছু ভাঙা এমটিএ রয়েছে যা STARTTLS সঠিকভাবে প্রয়োগ করে না। এই এমটিএগুলিতে (বা প্রাপ্ত হতে) প্রেরণে সক্ষম হওয়ার জন্য, অ্যাক্সেস মানচিত্রের সাথে রোলসেট ট্রাই_টেলস (srv_features) ব্যবহার করা যেতে পারে। অ্যাক্সেস মানচিত্রে প্রবেশের জন্য অবশ্যই ট্রিটলএলএস (এসআরভি_ফিটচার্স) এর সাথে ট্যাগ থাকতে হবে এবং সংযোগকারী সিস্টেমের হোস্টনাম বা আইপি ঠিকানাটি উল্লেখ করতে হবে।

অনুযায়ী http://etutorials.org/Server+Administration/Sendmail/Part+II+Administration/Chapter+10.+Maintain+Security+with+sendmail/10.10+STARTTLS/ :

যদি অ্যাক্সেস ডাটাবেস ব্যবহার না করা হয় তবে সংযোগটি সমস্ত ক্ষেত্রেই অন্তর্নির্মিত এবং আউটবাউন্ড উভয় ক্ষেত্রেই অনুমোদিত, যদি না {। যাচাই} এর মান সফটওয়্যার হয়, তবে সংযোগটি অনুমোদিত নয়।

এই উভয় ব্লার্বই সুপারিশ করে যে টিএলএস এড়ানোর জন্য ট্রাই_টিএলএস বৈশিষ্ট্যটিই একমাত্র বিকল্প যখন অন্য পক্ষটি সমর্থন করে বলে দাবি করে। আমি বুঝতে পারি যে এটি একটি বিকল্প তবে এটি জটিল because কারণ এটির অর্থ হ'ল যে কোনও সময় আউটবাউন্ড ডোমেনের সমস্যা হলে আমাকে নিজেই ব্যতিক্রম করতে হবে।

সেন্ডমেল ফ্যালব্যাক পাওয়ার অন্য কোনও উপায় আছে কি?

এই থ্রেড অনুসারে , এই প্যাচটিতে ফলব্যাক বৈশিষ্ট্য প্রয়োগ করাtls_failures হয়েছিল । স্পষ্টতই এটি কয়েকটি সংখ্যক টিএলএস হ্যান্ডশেক ব্যর্থতার পরে স্বয়ংক্রিয়ভাবে প্লেইন পাঠ্যটি ব্যবহার করবে।

দ্রষ্টব্য: এই প্যাচটি 8.16 এ সংহত করা হয়েছে (কমপক্ষে স্ন্যাপশট হিসাবে উপলব্ধ)

এই পোস্টের হিসাবে, 8.16 এখনো নেই মুক্তি , তাই এখন জন্য আপনাকে ব্যবহার করতে হবে /etc/mail/accessবা /etc/mail/access_dbযেমন শেঠ প্রস্তাব , এবং পুনর্নির্মাণের নিশ্চিত করা .dbব্যবহারmakemap hash /etc/mail/access < /etc/mail/access

tls_failuresবিশ্বব্যাপী ব্যবহারের সুরক্ষা ঝুঁকি হিসাবে ; এটি শুরু করার জন্য সুবিধাবাদী টিএলএস হ'ল বিবেচনা করে , আমি মনে করি যে এই নতুন বিকল্পটি ব্যবহার করা থেকে বিরত রাখা কেবলমাত্র কিছু সত্যিকারের সীমাবদ্ধ ক্ষেত্রে সহায়তা করবে যেখানে প্রাপক মেলসভারটি অস্থায়ীভাবে পুনর্গঠন করা হয়েছে এবং পরে সংশোধন করা হয়েছে।

আপনি নির্দিষ্ট হোস্টের জন্য টিএলএস অক্ষম করতে পারেন। উদাহরণ স্বরূপ:

# Try_TLS:gmail.com                     NO

আমি আপনাকে http://www.sendmail.org/m4/starttls.html এও নির্দেশ করছি

ডিফল্টরূপে STARTTLS যখনই সম্ভব ব্যবহার করা হয়। তবে, কিছু ভাঙা এমটিএ রয়েছে যা STARTTLS সঠিকভাবে প্রয়োগ করে না। এই এমটিএগুলিতে (বা প্রাপ্ত হতে) প্রেরণে সক্ষম হওয়ার জন্য, অ্যাক্সেস মানচিত্রের সাথে রোলসেট ট্রাই_টেলস (srv_features) ব্যবহার করা যেতে পারে। অ্যাক্সেস মানচিত্রে প্রবেশের জন্য অবশ্যই ট্রিটলএলএস (এসআরভি_ফিটচার্স) এর সাথে ট্যাগ থাকতে হবে এবং সংযোগকারী সিস্টেমের হোস্টনাম বা আইপি ঠিকানাটি উল্লেখ করতে হবে। একটি ডিফল্ট কেস কেবল ট্যাগ ব্যবহার করে নির্দিষ্ট করা যেতে পারে। উদাহরণস্বরূপ, অ্যাক্সেস মানচিত্রে নিম্নলিখিত এন্ট্রি:

Try_TLS:broken.server   NO
Srv_Features:my.domain  v
Srv_Features:       V

ভাঙ্গা.সার্ভারে প্রেরণের সময় STARTTLS বন্ধ করা হবে (বা সেই ডোমেনের কোনও হোস্ট), এবং কেবল আমার.ডোমেনের হোস্টের জন্য টিএলএস হ্যান্ডশেকের সময় ক্লায়েন্ট শংসাপত্রের জন্য অনুরোধ করবে। এসআরভি_ফিটচার্সের জন্য আরএইচএসে বৈধ এন্ট্রিগুলি "সেন্ডমেল ইনস্টলেশন ও অপারেশন গাইড" -র তালিকাভুক্ত।