보안연결 확인 방법 (Postfix)

자유 게시판
1

위에 검정색 굵은 글씨 보이시죠?
“Trusted connection established to”

저게 바로 보안연결입니다. 좀 더 구체적으로
Digital Certifcate (인터넷 신용 보증서) 의 최상단까지의 연결 체인이
공증(公證)됨을 표시해주는 메일서버(Postfix) 로그입니다.

인터넷 신용 보증서는 등급(Reputation; 신뢰도)이 높을수록 비쌉니다.
좋은거 구매하려면 1년에 20만원 ~ 50만원 정도 비용이 들어갑니다.
그 므다냐 삼성/엘지/네이버/카카오 정도 규모있는 기업정도 되면
저정도 비싼 신용보증서 구매해서 쓸거라 추측합니다.
가장 저렴한건 다들 아시는 렛츠인크립트(공짜)!
저도 렛츠인크립트로 설정했네유~~~

(구글은 아주그냥 그 최상단 신용보증기관 (Root CA) 을 인수해버렸다죠…)
(진짜 큰 기업은 통크게 나갑니다…)

각설하고!
Postfix TLS 로그 수준을 다음처럼 설정해줍니다:

smtpd_tls_loglevel = 1

2 정도로 올리면 엄청 자세한 로그가 표시됩니다.

첨언하자면,
보내는측 SMTP 서버 (yw-1204.doraji.xyz) 도 신용보증서를 정확하게 전달하게끔
설정해둬야 하고,
받는측 SMTP 서버 (quimby.gnus.org) 도 신용보증서를 최상단 신용보증기관까지 그 연결체인을
제대로 공증할 수 있도록 설정을 해두었을때에,
비로소 “Trusted …” 메시지가 로그에 뜹니다.
아 그리고 다들 궁금해하시는 쎌프-싸인 보증서는 아니에요… 그건 가짜에요~!
셀프-싸인 보증서는 죽다깨어나도 “Trusted …” 안뜹니다.

아래 위로그 관련 실제 메일을 첨부합니다:

Path: news.gmane.io!.POSTED.blaine.gmane.org!not-for-mail
From: 황병희 <soyeomul@yw.doraji.xyz>
Newsgroups: gmane.test
Subject: 2nd test new server
Date: Wed, 30 Mar 2022 22:17:21 +0900
Approved: news@gmane.org
Message-ID: <87a6d7vau6.fsf@penguin>
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
Injection-Info: ciao.gmane.io; posting-host="blaine.gmane.org:116.202.254.214"; logging-data="11368"; mail-complaints-to="usenet@ciao.gmane.io"
User-Agent: Gnus/5.13 (Gnus v5.13) Emacs/27.1 (aarch64-unknown-linux-gnu)
To: gmane-test@quimby.gnus.org (Gmane test)
Original-X-From: gmane-test-bounces@quimby.gnus.org Wed Mar 30 15:17:39 2022
Return-path: <gmane-test-bounces@quimby.gnus.org>
Envelope-to: gt-gmane-test@m.gmane-mx.org
Original-Received: from quimby.gnus.org ([95.216.78.240])
	by ciao.gmane.io with esmtps (TLS1.3:ECDHE_RSA_AES_256_GCM_SHA384:256)
	(Exim 4.92)
	(envelope-from <gmane-test-bounces@quimby.gnus.org>)
	id 1nZYCh-0002kY-DN
	for gt-gmane-test@m.gmane-mx.org; Wed, 30 Mar 2022 15:17:39 +0200
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=gnus.org;
	 s=20200322; h=Sender:List-Subscribe:List-Help:List-Post:List-Archive:
	List-Unsubscribe:List-Id:Subject:Content-Transfer-Encoding:Content-Type:
	MIME-Version:Message-ID:Date:To:From:Reply-To:Cc:Content-ID:
	Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
	:Resent-Message-ID:In-Reply-To:References:List-Owner;
	bh=HIKY0N+rw9kCchCeVhoo0qEH0r/oFbmxEpXRCfdZe4o=; b=SFocL8oMjylWivP7xYJnM5XbTT
	hEdn06MTGkLDDNSnCr8YQa76O9Edzy251hvasAB2wLhxKPJToCvhLNcvOZ7vewZcd5DTUL6Co3NCA
	UkqNF1Di4qbNfAIjd+LadwxLIgvOk8OEwcJL1AsGanDvS4QyUgG5H0WwOEz+iCYzAOk0=;
Original-Received: from [127.0.0.1] (helo=[95.216.78.240])
	by quimby.gnus.org with esmtp (Exim 4.92)
	(envelope-from <gmane-test-bounces@quimby.gnus.org>)
	id 1nZYCe-00087f-Ez
	for gt-gmane-test@m.gmane-mx.org; Wed, 30 Mar 2022 15:17:38 +0200
Original-Received: from yw-1204.doraji.xyz ([185.17.255.72])
 by quimby.gnus.org with esmtps (TLS1.3:ECDHE_RSA_AES_256_GCM_SHA384:256)
 (Exim 4.92) (envelope-from <soyeomul@yw.doraji.xyz>)
 id 1nZYCb-00087W-78
 for gmane-test@quimby.gnus.org; Wed, 30 Mar 2022 15:17:35 +0200
Original-Received: from penguin (unknown [223.39.139.151])
 (Authenticated sender: soyeomul@yw-1204.doraji.xyz)
 by yw-1204.doraji.xyz (Postfix) with ESMTPSA id 019E0722E
 for <gmane-test@quimby.gnus.org>; Wed, 30 Mar 2022 13:17:29 +0000 (UTC)
Original-Received: by penguin (sSMTP sendmail emulation, from userid 1000); Wed, 30 Mar 2022 22:17:22 +0900
Mail-Followup-To: gmane-test@quimby.gnus.org (Gmane test)
X-BeenThere: gmane-test@quimby.gnus.org
X-Mailman-Version: 2.1.29
Precedence: list
List-Id: <gmane-test.quimby.gnus.org>
List-Unsubscribe: <http://quimby.gnus.org/cgi-bin/mailman/options/gmane-test>,  <mailto:gmane-test-request@quimby.gnus.org?subject=unsubscribe>
List-Archive: <http://quimby.gnus.org/pipermail/gmane-test/>
List-Post: <mailto:gmane-test@quimby.gnus.org>
List-Help: <mailto:gmane-test-request@quimby.gnus.org?subject=help>
List-Subscribe: <http://quimby.gnus.org/cgi-bin/mailman/listinfo/gmane-test>,  <mailto:gmane-test-request@quimby.gnus.org?subject=subscribe>
Errors-To: gmane-test-bounces@quimby.gnus.org
Original-Sender: "Gmane-test" <gmane-test-bounces@quimby.gnus.org>
Xref: news.gmane.io gmane.test:8918
Archived-At: <http://permalink.gmane.org/gmane.test/8918>

thanks;

-- 
^고맙습니다 _地平天成_ 감사합니다_^))//

[크롬북에서 적었어유~~~]

2

추가 스크린샷 나갑니다~~~


위의 서버 로그는 받는측 SMTP 서버입니다. yw-0919.doraji.xyz ;;;
“Trusted TLS connection established from” ← 보안연결 성공.

관련 실제 메일 아래에 첨부합니다:

From soyeomul@gmail.com  Thu Mar 31 03:02:50 2022
Return-Path: <soyeomul@gmail.com>
X-Original-To: postmaster@yw.doraji.xyz
Delivered-To: postmaster@yw.doraji.xyz
Received: from mail-ua1-f54.google.com (mail-ua1-f54.google.com [209.85.222.54])
	(using TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits))
	(Client CN "smtp.gmail.com", Issuer "GTS CA 1D4" (verified OK))
	by yw-0919.doraji.xyz (Postfix) with ESMTPS id 3DAD43F03B
	for <postmaster@yw.doraji.xyz>; Thu, 31 Mar 2022 03:02:50 +0000 (UTC)
Received: by mail-ua1-f54.google.com with SMTP id a20so9834976uaq.11
        for <postmaster@yw.doraji.xyz>; Wed, 30 Mar 2022 20:02:50 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20210112;
        h=mime-version:from:date:message-id:subject:to;
        bh=z0RRGNlS31fx2O8nJEOTUzMhu7X/8d1mhVrCjDp5BHM=;
        b=KV8QHnQ1XxdhbjlSoFIns4kk1mqbMVWnLgcWWScc2vyzze2rwhB7ymcwEMZDP3wfrd
         5PgZR7+BSDoNVKxCo9sl1XQK12ilDhqoyIuIsBnM7O9d1pN7B92sZlz5qrx7E9FBpVxf
         sYcgc9aDKuTZdsVNo/BHEJcjRgTO+Bu2/xyz8+xJKDCsv1AD260YyKRMF8Zyhrk8y9fo
         AV7UZ3FsoYOe4pWQqCV7/3SPeJMBt2v7RZ9+cstJsbdUfkOuUx6hp6S8BkdpOf7kEXAL
         IFbvTDU5AQhch/c60OLL4eH7y5Db0Dm41v9Nof0xs3ZVwlHpNge+bK9JvhlYnuJQXmKg
         GJ3A==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20210112;
        h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
        bh=z0RRGNlS31fx2O8nJEOTUzMhu7X/8d1mhVrCjDp5BHM=;
        b=Zvfbol9oE4+eZvacSNAFzLNmkOdZhREKT7cBwTsdg4iQIF+vw9Cjzktqa2krNiLKan
         LJnCPshW9OLKHROu41yHitbV3uPO9LuJU/CzS+1p52l59zIOeVMbLb0embppq/z7xc7b
         Qx7mHOW6AfIp+qPQlx/4CUc9jV3K6Yj+VIZhwYW1rsdXIPViLLMpA95EhWf5l+ciU9P5
         qsF581+cJ3nCZp7R4skcbtX3quCrqIXQmr5EsH3ACEvR/o3J3D/J7EpjygEqP7aq3ERY
         aqSATjlYoUUXdeOTmIP+1rKCGp8unNnY6gHLDmb8DS0bIX1XPlCkOVic/NAjnSeoH+W1
         Wu4Q==
X-Gm-Message-State: AOAM531fI1KEmQBeyfJe8Ozlx/6ISWuTFpNmAcUiteCWnBBV+NmIMcZI
	yRPNKERv098osvfVwMHGNexBucKPzo0IRJdNsd4J1FUf
X-Google-Smtp-Source: ABdhPJzw75RtC7ac4+k915NbRwyDUmd6WXDGpGMGPjA8gDEdpLZ8SFTbKgALUeOA67gNyetTFPrRgiL0Q+im4kiuwkQ=
X-Received: by 2002:ab0:4682:0:b0:356:816e:68fc with SMTP id
 r2-20020ab04682000000b00356816e68fcmr1347928uaa.97.1648695768540; Wed, 30 Mar
 2022 20:02:48 -0700 (PDT)
MIME-Version: 1.0
From: =?UTF-8?B?7Zmp67OR7Z2s?= <soyeomul@gmail.com>
Date: Thu, 31 Mar 2022 12:01:49 +0900
Message-ID: <CAA1wx0gXJ1CdXdmUXBeuYnNKeuhe08FUETbK9JZhAd6kqs_s5g@mail.gmail.com>
Subject: TLS connection test...
To: postmaster@yw.doraji.xyz
Content-Type: text/plain; charset="UTF-8"

thanks;

[크롬북에서 적었어유~~~]

3

위의 두개 스크린샷을 통해 다음처럼 요약할 수 있습니다:

[^^^] yw-1204.doraji.xyz SMTP 서버는
적법한 신용보증서를 탑재하고 있다.

[^^^] quimby.gnus.org SMTP 서버는
상호간 SMTP 연결을 맺을때 신용보증서의
최상단까지의 연결체인을 검증할 수 있는 시스템을 갖추고 있다.

[^^^] 구글의 발신용 SMTP 서버들은
적법한 신용보증서를 탑재하여 외부 인터넷으로 나아간다.

[^^^] yw-0919.doraji.xyz SMTP 서버는
상호간 SMTP 연결을 맺을때 신용보증서의
최상단까지의 연결체인을 검증할 수 있는 시스템을 갖추고 있다.

참고문헌:

[1] https://serverfault.com/questions/1036749/postfix-untrusted-tls-connection-established-how-to-solve-this-error
[2] https://datatracker.ietf.org/doc/html/rfc8461
[3] https://en.wikipedia.org/wiki/Let's_Encrypt

[크롬북에서 적었어요~]