入站SMTP连接上的强制TLS支持多广？

我运行的MTA包括标准的Postfix，SpamAssassin，ClamAV，SPF / DKIM检查等。此MTA仅用于入站电子邮件，不托管任何帐户，并且将通过检查的邮件转发给共享的Web主机。

我知道，当尝试将邮件传递到我的服务器时，一些电子邮件服务开始在纯文本之前尝试TLS连接。

我意识到并不是所有的服务都支持TLS，但是我想知道它的普及程度如何，这样我才能满足大脑的OCD安全性要求（是的，我知道SSL并不像我们曾经认为的那样安全。 ...）。

该后缀的文档的smtpd_tls_security_level规定，RFC 2487规定所有的公开引用（即MX）邮件服务器不强迫TLS：

根据RFC 2487，在公开引用的SMTP服务器的情况下，不得使用此方法。因此，此选项默认为关闭。

因此：文档（或与此相关的15年历史的RFC）的适用性/相关性如何？我是否可以在不锁定全球一半ISP的情况下安全地在所有入站SMTP连接上强制使用TLS？

鉴于世界各地的邮件提供者不容易在其邮件服务器上提供统计信息，所以这是一个非常复杂的问题。

自我诊断

要基于您自己的服务器/域对等方确定问题的答案，可以启用SSL日志记录：

postconf -e \
    smtpd_tls_loglevel = "1" \
    smtpd_tls_security_level = "may"

postconf
postfix reload

假设您将邮件syslog消息保存了一段时间。如果没有，也许可以设置系统日志归档策略并编写一个Shell脚本来总结服务器上TLS的使用情况。也许已经有脚本可以执行此操作。

一旦确定所有对等方都支持TLS并愿意采用密码和协议强度，便可以做出明智的决定。每个环境都是不同的。没有一个答案可以满足您的需求。

我个人的经历

不管怎样，我自己的个人邮件服务器强制执行TLS。否定大多数垃圾邮件机器人会产生一个有趣的副作用，因为其中大多数不支持TLS。（在进行更改之前，我一直依靠S25R regexp方法）

更新资料

自从我回答这个问题已经一年了，我收到的强制启用TLS的电子邮件的唯一问题是来自Blizzard（家长控制）的前端Web服务器和Linode的管理系统。我与之互动的其他人似乎都支持具有强大密码的TLS。

企业环境

在公司环境中，我强烈建议您启用TLS日志记录，并在执行TLS之前使其运行相当长的时间。您始终可以在tls_policy文件中为特定域名强制实施TLS。

postconf -d smtp_tls_policy_maps

postfix网站上有一些有关tls策略映射用法的出色文档。即使ISP试图在初始服务器连接中剥离TLS支持，您也至少可以确保对提供敏感信息的特定域进行了加密。