Перейти к содержанию

Переопределение политики TLS

Это руководство предназначено только для опытных администраторов

Данное руководство предназначено для опытных администраторов, которым необходимо настроить политики TLS для конкретных доменов или IP-адресов.
Неправильные изменения настроек TLS могут привести к проблемам с доставкой или к небезопасным соединениям.

Общая информация

Начиная с обновления animails в сентябре 2025 года, animails также проверяет политики TLS получателя для исходящих SMTP-соединений.
Ранее эта проверка применялась только к входящим электронным письмам или к доменам, где эта функция была включена явно.

В редких случаях это может привести к тому, что письма перестанут доставляться — например, если домен получателя публикует ошибочные или недействительные записи TLSA (DANE).
Поскольку Postfix (и, следовательно, animails) рассматривает эти записи как авторитетные в соответствии с RFC 7672, в таких случаях в доставке будет отказано.

Если вы все же хотите доставлять электронные письма таким затронутым получателям — например, в качестве временного решения для ошибочных записей TLSA — вы можете установить переопределяющую политику для соответствующего домена через управление политиками TLS.
Обратите внимание, что это намеренно обходит проверки безопасности и должно использоваться только временно или с надлежащим документированием.

Процедура

  1. Вход в систему: Войдите в веб-интерфейс animails как администратор.

  2. Навигация: Откройте Электронная почта > Конфигурация.

  3. Открыть политики TLS: Перейдите на вкладку Политики TLS.

  4. Добавить запись: Нажмите Добавить запись политики TLS.

  5. Установить цель: В поле Цель введите затронутый домен или IP-адрес, для которого должна применяться политика (например, example.com).

  6. Выбрать политику: В выпадающем списке Политика выберите один из следующих вариантов:

    • none – TLS не будет использоваться, даже если целевой сервер его предлагает.
    • may – TLS будет использоваться, если он доступен, но не является обязательным.
    • encrypt – TLS обязателен, но сертификаты не проверяются.
    • verify – TLS обязателен, и сертификат сервера проверяется.
    • secure – TLS обязателен; сертификат и имя хоста должны быть действительными.
    • dane – TLS в соответствии с политиками DANE, переход к оппортунистическому TLS при отсутствии записи TLSA.
    • dane-only – TLS только через действительные записи DANE/TLSA, без резервных вариантов.
    • fingerprint – TLS обязателен; сертификат должен соответствовать сохраненному отпечатку.

    Пример: Если у домена есть ошибочные записи TLSA, вы можете временно выбрать may или encrypt, чтобы разрешить доставку.

  7. Дополнительные параметры: В поле Параметры вы можете указать дополнительные опции Postfix, например: protocols=!SSLv2,!SSLv3, чтобы отключить устаревшие протоколы.

    Разделяйте параметры друг от друга пустой строкой.

  8. Активировать политику: Включите опцию Активна, чтобы политика была применена.

  9. Сохранить: Нажмите Добавить, чтобы создать и активировать политику.

Теперь политика активна.
Перезагрузка animails или Postfix не требуется — изменения вступают в силу немедленно.

Примеры использования

Ситуация Рекомендуемая политика Описание
Целевой домен имеет недействительные записи TLSA may Оппортунистический TLS для разрешения доставки, несмотря на ошибочные записи DANE.
Внутренние тестовые системы без действующих сертификатов encrypt Принудительное шифрование без проверки сертификата.
Партнерский домен с правильно настроенным DANE dane Безопасная доставка через проверенные DNSSEC записи TLSA. (стандарт animails, если домен получателя совместим)
Среда с повышенными требованиями к безопасности и известными сертификатами fingerprint Явная привязка сертификата (pinning) для максимального контроля.

Примечание

Как только ошибочные записи TLSA или проблемы с сертификатами на стороне получателя будут устранены, вам следует удалить временно установленную политику или сбросить ее до значения по умолчанию, чтобы сохранить целостность модели безопасности TLS.