MUA/MTA configuration: prefer implicit TLS over STARTTLS for mail submission.

1 files changed, 28 insertions, 19 deletions

diff --git a/konfigurera.mdwn b/konfigurera.mdwn
index 0e63862..1acb2d9 100644
--- a/konfigurera.mdwn
+++ b/konfigurera.mdwn
@@ -36,13 +36,13 @@ Inställningar för utgående e-post
 ---------------------------------
 
  * SMTP och värd: `smtp.fripost.org`
- * Anslutning/Krypteringsmetod: `STARTTLS`
- * Port: `587`
+ * Port: `465`
+ * Anslutning/Krypteringsmetod: `SSL/TLS` (inte `STARTTLS`)
  * Domän (där det behövs): `fripost.org`
  * Användare: `ANVÄNDARNAMN` (eller `ANVÄNDARNAMN@fripost.org`)
 
-Istället för port 587 och StartTLS du kan också använda
-[port 465 och SSL/TLS](https://tools.ietf.org/html/rfc8314#section-3.3).
+Istället för port `465` och `SSL/TLS` du kan också använda port `587`
+och `STARTTLS` (t.ex. om din ISP förbjuder 465/tcp).
 
 Du kan också använda din Internetleverantörs server. Vi listar några vanliga här nedan.
 
@@ -135,8 +135,8 @@ Msmtp är en flexibel ersättning för Sendmail.
     # Fripostkontot
     account       fripost
     host          smtp.fripost.org
-    tls_starttls  on
-    port          587
+    tls_starttls  off
+    port          465
     domain        fripost.org
     from          ANVÄNDARNAMN@fripost.org
     user          ANVÄNDARNAMN@fripost.org
@@ -146,7 +146,7 @@ Msmtp är en flexibel ersättning för Sendmail.
 
 Du kan använda antingen en enda relävärd för alla meddelanden eller flera stycken och låta Postfix välja mellan dem beroende på kuvertavsändarens adress. Först följer anvisningar för den enkla och sedan för den avsändarberoende konfigurationen. Välj (endast) ett av avsnitten här nedan.
 
-#### Enkel relävärd (`smtp.fripost.org:587`) för alla utgående meddelanden #####
+#### Enkel relävärd (`smtp.fripost.org:465`) för alla utgående meddelanden #####
 
 Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`:
 
@@ -155,18 +155,19 @@ Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`:
 (den ska endast kunna läsas av superanvändaren). Redigera filen och
 ange dina uppgifter enligt formen
 
-    [smtp.fripost.org]:587  ANVÄNDARNAMN@fripost.org:XXXXXXXX
+    [smtp.fripost.org]:465  ANVÄNDARNAMN@fripost.org:XXXXXXXX
 
 Lägg nu till nedanstående i filen `/etc/postfix/main.cf`.
 
     inet_interfaces = loopback-only
-    relayhost       = [smtp.fripost.org]:587
+    relayhost       = [smtp.fripost.org]:465
 
     smtp_sasl_auth_enable          = yes
     smtp_sasl_password_maps        = texthash:/etc/postfix/sasl/passwd
     smtp_sasl_security_options     = noanonymous, noplaintext
     smtp_sasl_tls_security_options = noanonymous
 
+    smtp_tls_wrappermode            = yes
     smtp_tls_security_level         = fingerprint
     smtp_tls_fingerprint_digest     = sha256
     smtp_tls_mandatory_ciphers      = high
@@ -179,7 +180,7 @@ Glöm inte att ladda om (eller kanske t.o.m. starta om) Postfix efter att du har
 
 #### Avsändarberoende relävärd ####
 
-Denna konfiguration är snäppet mer avancerad än den för enkel relävärd, men kan vara bra om man vill använda `smtp.fripost.org:587` för privata meddelanden och t.ex. `smtp.example.org:587`, ett visst företags relävärd, för yrkesrelaterade meddelanden.
+Denna konfiguration är snäppet mer avancerad än den för enkel relävärd, men kan vara bra om man vill använda `smtp.fripost.org:465` (implicit SSL/TLS) för privata meddelanden och t.ex. `smtp.example.org:587` (StartTLS), ett visst företags relävärd, för yrkesrelaterade meddelanden.
 
 Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`:
 
@@ -188,31 +189,32 @@ Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`:
 (den ska endast kunna läsas av superanvändaren). Redigera filen och
 ange dina uppgifter enligt formen
 
-    [smtp.fripost.org]:587  ANVÄNDARNAMN1@fripost.org:XXXXXXXX
+    [smtp.fripost.org]:465  ANVÄNDARNAMN1@fripost.org:XXXXXXXX
     [smtp.example.org]:587  ANVÄNDARNAMN2@example.org:XXXXXXXX
 
 Ange sedan dina SSL/TLS-klientregler i `/etc/postfix/tls_policy`:
 
     [smtp.example.org]:587  secure ciphers=high protocols=!SSLv2:!SSLv3
-    [smtp.fripost.org]:587  fingerprint ciphers=high protocols=!SSLv2:!SSLv3:!TLSv1:!TLSv1.1
+    [smtp.fripost.org]:465  fingerprint ciphers=high protocols=!SSLv2:!SSLv3:!TLSv1:!TLSv1.1
         match=A2:72:6E:C6:51:4D:66:70:AA:F4:90:08:C1:7A:3F:28:F9:2E:E9:81:E5:30:D1:0E:19:D6:84:7C:EA:A3:C9:05
 
 Se `postconf(5)` för att läsa mer om SSL/TLS-klientregler. Fingeravtrycket till vårt [server-certifikats](https://git.fripost.org/fripost-ansible/plain/certs/public/smtp.fripost.org.pem) publika nyckel hittar du [här](https://fripost.org/certs.asc).
 
 Se `postconf(5)` för att läsa mer om SSL/TLS-klientregler. Se även [fingeravtrycket](https://fripost.org/certs.asc) till vårt [servercertifikats](https://git.fripost.org/fripost-ansible/plain/certs/public/smtp.fripost.org.pem) publika nyckel. Dina relävärdsregler i `/etc/postfix/relayhost_map` är:
 
-    @fripost.org  [smtp.fripost.org]:587
-    @example.org  [smtp.example.org]:587
+    @fripost.org  relay-smtps:[smtp.fripost.org]:465
+    @example.org  relay:[smtp.example.org]:587
 
-Här säger vi åt Postfix att använda relävärden `smtp.fripost.org:587` när kuvertavsändarens adress har domännamnet `fripost.org` och relävärden `smtp.example.org:587` när domännamnet är `example.org`. Hakparenteserna runt värdnamnet innebär att Postfix inte ska göra några MX-uppslag.
+Här säger vi åt Postfix att använda relävärden `smtp.fripost.org:465` (med transport `relay-smtps`) när kuvertavsändarens adress har domännamnet `fripost.org` och relävärden `smtp.example.org:587` (med transport `relay`) när domännamnet är `example.org`. Hakparenteserna runt värdnamnet innebär att Postfix inte ska göra några MX-uppslag.
 
 Lägg nu till nedanstående i filen `/etc/postfix/main.cf`.
 
-    inet_interfaces = loopback-only
-    relayhost       = [smtp.fripost.org]:587
+    inet_interfaces   = loopback-only
+    relayhost         = [smtp.fripost.org]:465
+    default_transport = relay-smtps
 
-    smtp_sender_dependent_authentication = yes
-    sender_dependent_relayhost_maps      = texthash:$config_directory/relayhost_map
+    smtp_sender_dependent_authentication    = yes
+    sender_dependent_default_transport_maps = texthash:$config_directory/relayhost_map
 
     smtp_sasl_auth_enable          = yes
     smtp_sasl_password_maps        = texthash:/etc/postfix/sasl/passwd
@@ -224,4 +226,11 @@ Lägg nu till nedanstående i filen `/etc/postfix/main.cf`.
 
 (De enda skillnaderna mot den "enkla" konfigurationen är att vi här har bytt ut `smtp_tls_*`-valen mot `smtp_tls_policy_maps` och att vi sätter ett standardvärde i de fall som relävärden inte överensstämmer med uppslagstabellen `relayhost_map`.)
 
+Tjänstdefinitionen för `relay` och `relay-smtps` ligger i filen `/etc/postfix/master.cf`:
+
+    relay       unix -      -       -       -       -       smtp
+    relay-smtps unix -      -       -       -       -       smtp
+      -o smtp_tls_wrappermode=yes
+      -o smtp_tls_security_level=fingerprint
+
 Glöm inte att ladda om (eller kanske t.o.m. starta om) Postfix efter att du har ändrat konfigurationen. Kör t.ex. `service postfix restart` eller `systemctl restart postfix`.