У меня есть почтовый сервер с TLS за маршрутизатором Cisco. Тесты для соединений TLS изнутри доказывают, что tls настроен просто отлично.
С хоста в локальной подсети:
zzzz@server:~# telnet mail.xxx.co.ug 25
Trying 192.168.1.20...
Connected to mail.xxx.co.ug.
Escape character is '^]'.
220 mail.xxx.co.ug ESMTP Postfix
ehlo example.com
250-mail.xxx.co.ug
250-PIPELINING
250-SIZE 20240000
250-ETRN
250-STARTTLS
250-AUTH DIGEST-MD5 NTLM CRAM-MD5 LOGIN PLAIN
250-AUTH=DIGEST-MD5 NTLM CRAM-MD5 LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
С маршрутизатора / интернет-хоста: это то, что я получаю от маршрутизатора и когда я telnet с интернет-хоста на почтовый сервер
`OME-GW#telnet mail.xxx.co.ug 25
Trying mail.xxx.co.ug (192.168.1.20, 25)... Open
220 mail.xxx.co.ug ESMTP Postfix
ehlo example.com
250-mail.xxx.co.ug
250-SIZE 20240000
250-AUTH DIGEST-MD5 NTLM CRAM-MD5 LOGIN PLAIN
250 DSN`
Обратите внимание, что нет STARTTLS
Списки доступа настроены так, чтобы разрешить и pop3, и smtp проходить через почтовый сервер, это работает как положено. Проблема в том, что tls соединения не проходят через почтовый сервер из интернета. Ниже мой внешний ACL из Интернета
Extended IP access list 102
10 permit tcp any any eq pop3 (9768 matches)
20 permit tcp any any eq smtp (66860 matches)
30 permit tcp any any eq 1194 (279 matches)
40 permit gre any any
50 permit icmp any XXX.157.20.236 0.0.0.3 echo (7943 matches)
60 permit icmp any XXX.157.20.236 0.0.0.3 echo-reply (75134 matches)