Forzar el cifrado para SMTP saliente con Postfix

¿Alguien sabe cómo decirle a Postfix que cifre el correo saliente?

Lo configuré para usar el cifrado en la recepción, pero no puedo hacerlo con el correo saliente. Este es mi main.cfarchivo:

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = smtpd
transport_maps = hash:/etc/postfix/transport

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

smtp_tls_security_level = encrypt o smtp_enforce_tls = yes

Para destinos específicos, puede usar smtp_tls_policy_maps

smtp_use_tls = yes y smtp_enforce_tls = yes están en desuso. Con Postfix 2.3 y posterior, use smtp_tls_security_level en su lugar.

Recuerde: la aplicación del cifrado TLS podría causar problemas de entrega de correo para el host SMTP, que no tiene configurado TLS. Si el servidor se usa para entregar correos solo a su servidor interno con TLS configurado, no es un problema en ese caso. Pero si el servidor se usa para entregar correo a servidores públicos, no puede suponer que todos los servidores tienen soporte TLS. En ese caso, use smtp_tls_security_level = may

La idea es obligar a los usuarios a configurar sus clientes de correo electrónico con un servidor smtp saliente cifrado. Con la configuración actual, Thunderbird les deja la opción de comunicarse con el servidor smtp en texto plano ...

No puede desactivar la opción en Thunderbird sin volver a compilar el código fuente, pero puede configurar el daemon stmpd postfix (que recibe el correo de sus clientes) para aplicar el cifrado. Para hacerlo, use smtpd_tls_security_level = encrypt , que es equivalente a opciones obsoletas smtpd_use_tls = yes y smtp_enforce_tls = yes . smtpd_tls_security_level = cifrar y smtp_enforce_tls = sí implica smtpd_tls_auth_only = sí

De la documentación de postfix sobre smtpd_tls_security_level = encrypt

Cifrado TLS obligatorio: anuncie el soporte STARTTLS a los clientes SMTP y exija que los clientes usen el cifrado TLS. De acuerdo con RFC 2487, esto NO DEBE aplicarse en el caso de un servidor SMTP de referencia pública. En cambio, esta opción solo debe usarse en servidores dedicados.

Si usa un servidor público, no puede aplicar el cifrado de correo electrónico en el puerto 25 / tcp. La mejor solución es deshabilitar la entrega de correo en el puerto 25 / tcp de postfix smtpd daemon de sus clientes y habilitar el daemon de envío de postfix (que es un daemon especial de postfix smtpd usado solo para recibir correo de sus clientes locales descritos en RFC 4409 que se ejecuta en el puerto 587 / tcp) . Para hacer eso, establezca smtpd_tls_security_level = may y elimine permit_sasl_authenticatedde smtpd_recipient_restrictions . En la master.cflínea de comentarios sobre el demonio de envío:

submission inet n       -       n       -       -   submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_recipient_resrictions=permit_sasl_authenticated,reject

Solo por curiosidad, ¿cómo estás diciendo que no está usando TLS? El valor predeterminado para smtp_tls_loglevel (que es diferente de smtpd_tls_loglevel) es 0, por lo que, de manera predeterminada, no verá nada sobre la negociación de TLS para el correo saliente en los registros de Postfix.

Si configura smtp_tls_loglevel = 1 o superior, debería ver una línea como esta en el registro cuando se envía un mensaje:

Mar 7 22:28:10 rack postfix / smtp [27400]: inicializando el motor TLS del lado del cliente

Admito que soy flojo, pero aparte de eso (y las notas de ms arriba), la configuración me parece bien de un vistazo.