自社運用中のアドレスから届いたメールに気がついたらこんなマークがついてた。

Google先生曰く暗号化してませんよ。と。

support.google.com

特に思い当たる節がなかったのでググったところ

ttps://www.reddit.com/r/sysadmin/comments/45wmye/postfixdovecot_tls_to_get_rid_of_gmail_red_unlock/

内で

Great! Depending on your postfix version, you may want to not actually use smtp_use_tls, as it was made obsolete in Postfix 2.3 and higher. The correct setting in later postfix for opportunistic TLS is: smtp_tls_security_level = may http://www.postfix.org/postconf.5.html#smtp_tls_security_level

つまりPostfixのバージョンアップに伴いオプションが廃止されて、それが原因でtlsが使われていなかった模様。

公式ドキュメントも確認。

http://www.postfix.org/postconf.5.html#smtp_use_tls

smtp_use_tls (default: no)

(略)

This feature is available in Postfix 2.2 and later. With Postfix 2.3 and later use smtp_tls_security_level instead.

2.3からはsmtp_tls_securiy_levelを使ってねとのこと。

そちらも内容もちゃんと確認。

http://www.postfix.org/postconf.5.html#smtp_tls_security_level

(そういえばこの前Postfixのバージョン上がってたような・・・？) と記憶の片隅に残っていたので確認したところまぁその通りでした。

対応としてはsmtp_use_tlsの部分を削除し、smtp_tls_security_levelを設定しました。 encryptのような強い条件の方が良さそうだけど、とりあえずmayにしてサービスを再起動したところ無事TLSが使われるようになりました。

設定を変更した場合はTLS Sender Testのようなサービスを利用して外部を絡めた確認も行う必要がありそうです。

本来ならば時間をかけて設定を見直す必要があるんだと思いますが、自分が常に素早く対応出来るわけもないので運用体制もヤバイ感じですね。 誰も気がついていなかったってのもどうかと思いますが。