Почтовая система на основе Postfix

[mr. brightside]

Добрый день, всем

Помоги понять одну вещь, я чего то затупил.

Хочу собрать следующую связку: Postfix+Dovecot+ClamAV+SpamAssassin+LDAP+SSL/TLS

Авторизация будет проходить в LDAP, Там же будут алиасы и почтовая книга всего домена.

Я не могу понять, нужен ли мне SASL?
Он же для шифрования паролей нужен, скажем в MD5 хеше. Насколько я знаю, при использовании шифрования подключения необходимость в шифровании летящих к серваку паролей отпадает, или...?

Сейчас сижу на сендмыле. Использую стандартные порты - 25ый и 110ый, авторизуюсь через Digest-MD5 к SASL, который смотрит в LDAP. Т.е. все пароли и логины хранятся также в LDAP в открытом виде (plaintext). Когда надо авторизоваться - посылаю шифрованный пароль SASL, тот расшифровывает его, смотрит в LDAP и разрешает/запрещает авторизацию.

Захотелось переехать на 465 и 995ые порты соответственно (SSL). Вот тут я и вспомнил, что где то читал, что при использовании этих портов шифрование передаваемых паролей не будет работать, т.е. SASL НЕ нужен. Достаточно начать хранить пароли в LDAP в зашифрованном виде.

Хотелось бы подтверждения/опровержения услышать.

Спасибон!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ivan__]

Разберись для начала, для чего SSL и SASL.

[mr. brightside]

Разберись для начала, для чего SSL и SASL.

А чего не понятно из моего поста?

SASL - для идентификации пользователей через логин/пароль при помощи различных механизмов хеширования, например md5.
TLS/SSL - протокол для шифрования соединения клиента с сервером или сервера с сервером.

Или этот пост должен был внести ЧСВ-нагрузку?)

а вот и ответ и инструкция по настройке.

Только у себя я все же Cyrus-SASL буду юзать

[ivan__]

Или этот пост должен был внести ЧСВ-нагрузку?)

Без SASL аутентификации не будет.

Только у себя я все же Cyrus-SASL буду юзать

Если собрался dovecot использовать, нафиг Cyrus.

[mr. brightside]

Если собрался dovecot использовать, нафиг Cyrus.

Я понимаю, что это бессмысленно, просто Cyrus как то ближе

Кстати, у меня проблемка с сертифкатами:

Никак не могу понять, что не так с моими сертификатами и почему они не хотят работать.

Сгенерировал сертификат и закрытый ключ:

Код: Выделить всё

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 1095

Получил запрос на указание дополнительных данных. Common Name в конце сделал в виде HostName.MyDomain.ru.

Полученные файлы положил в /usr/local/etc/postfix/ssl. Дал права 600 пользователю postfix, от которого стартует МТА.

При подключении клиентом к серваку в логе вижу сообщение:

Код: Выделить всё

warning: cannot get RSA private key from file

Попробовал дать полные права на файл - 777. Не помогло.
Тогда:

Код: Выделить всё

openssl rsa -in smtpd.pem -out smtpd.new.pem
rm smtpd.key && mv smtpd.new.pem smtpd.pem

Стал в логе получать ошибку:

Код: Выделить всё

warning: cannot get RSA certificate from file

Т.е. сначала он не мог получить RSA из закрытого ключа, теперь не может получить из сертификата.

Попробовал еще сгенерировать ключ и сертификат таким образом:

Код: Выделить всё

openssl genrsa -out genrsa.key 1024
chmod 600 genrsa.key
openssl req -new -key genrsa.key -out csr.csr
openssl x509 -req -days 730 -in csr.csr -signkey regrsa.key -out sptmd.crt
cat genrsa.key smtpd.crt > smtpd.pem
chmod 600 smtpd.pem
chown postfix smtpd.pem

Но увы, также не помогло. В чем может быть проблема?