PostfixサーバーからGmailへメールを配送するときの暗号化

このごろ, gmailへメールを送ると, 赤い鍵のマークとともに, 以下のような警告がでるようになった:

メールサーバからgmailへメールを送るときに, 暗号化されていないことを警告しているらしい.

Postfixでどのように設定すればよいか調べた所, 簡単だった. 以下の設定を追加するだけ (smtps_use_tlsではない.):

smtp_use_tls = yes
smtp_tls_CApath = /etc/ssl/certs/

ただし, 他のメールサーバが, 「TLS使えるよ」と言っているのにTLSハンドシェイクに失敗するような場合は, メール配送に失敗するとのこと. TLS関連の設定は難しい:-(
なお, この設定だけでは, DNSに間違った情報を入れられるような中間者攻撃には耐えられない.

余談だが, たいていのサイトはTLSに対応しているようなのだが, OCNは未対応だ.