dovecot + ssl

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sid
проходил мимо

dovecot + ssl

Непрочитанное сообщение sid » 2008-10-23 14:09:47

Господа, нашли тут такую весчь... я прям даже и не знаю...
короче:
стоит dovecot с поддержкой ssl на нестандартном порту...
все хорошо , все работает...
и тут узнается такая вещь:
если на нестандартный порт, на который настроен ssl, стукнуться на получение почты клиентом The bat с указанием работы по ssl, но без сертификата, то сертификат dovecot сам предлагает клиенту... т.е. выводиться предложение сделать данный сертификат доверенным и далее работа происходит по этому сертификату...о_0

т.е. просто сертификат раздается... всем кто конектиться... :( (да я понимаю, что данный сертификат нельзя экспортироать... но все же... как-то мне это не нравиться...)

кто-нидь в курсе, как сделать что бы сертификат запрашивался при подключении к этому порту, а к стандартному (110) не запрашивался , работа была бы без него..., а самостоятельно что бы dovecot сертификат не раздовал вообще никому и никогда...
(вообще я предполагал, что он именно так и работает... ан походу нет... :()

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: dovecot + ssl

Непрочитанное сообщение hizel » 2008-10-23 15:57:15

это не есть проблема, есть же еще ключ
ни один больше почтовик без этого ключа таким сертификатом не подпишется
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

sid
проходил мимо

Re: dovecot + ssl

Непрочитанное сообщение sid » 2008-10-23 15:59:55

hizel писал(а):это не есть проблема, есть же еще ключ
ни один больше почтовик без этого ключа таким сертификатом не подпишется
чуть по подробнее...
в смысле ключ...
зачем это нужно и как от этого избавиться...
или где об этом почитать...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: dovecot + ssl

Непрочитанное сообщение hizel » 2008-10-23 16:09:15

читаем про PKI
немного напряжения и приходит понимание
http://en.wikipedia.org/wiki/Public_key_infrastructure
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.


sid
проходил мимо

Re: dovecot + ssl

Непрочитанное сообщение sid » 2008-10-23 17:27:48

PKI arrangements enable computer users without prior contact to be authenticated to each other, and to use the public key information in their public key certificates to encrypt messages to each other.

если я правильно понял, то это как раз и говорит, что можно шифровать трафик сертификатами , без предшествующего контакта... т.е. походу то, о чем я спрашиваю...
хорошо... это реально разрешено... и пожалуй неплохая возможность...
но я пока совершенно не могу понять как это контролировать...
т.е. как разрешить такое поведение и как запретить...
ибо пожалуй для dovecot-а я бы предпочел запретить это...

sid
проходил мимо

Re: dovecot + ssl

Непрочитанное сообщение sid » 2008-10-23 17:33:00

сейчас я использую сертификат X.509, он как раз принадлежит стандарту PKI...

можно предположить, что другого поведения от данного стандарта я не дождусь... :((
вопрос, а dovecot с TLS работает только с сертификатами x.509 или можно использовать другой сертификат?!!!

или другой вариант шифрования трафика в нем...

sid
проходил мимо

Re: dovecot + ssl

Непрочитанное сообщение sid » 2008-10-23 17:40:37

и еще одно замечание, ведь всей этой канители с предоставлением сертификата при подключении к порту можно избежать ,установив опцию ssl_require_client_cert, но тут проблема, что надо всегда использовать ssl, а мне для локальной подсетки этого бы не хотелось...

может быть есть возможность указать что бы данная опция работала только на определенном порту... т.е на 110 не трабовать сертификата и работать, а на 1110 использовать ssl и принудительно требовать сертификат... и не выдавать его и не делать авторизацию, если сертификата нет у клиента... :((

вроде просто, а почему-то пока работает не так... :(