Exim + Dovecot + RoundCube + SSL + 3 домена

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
gyurza2000
лейтенант
Сообщения: 895
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Exim + Dovecot + RoundCube + SSL + 3 домена

Непрочитанное сообщение gyurza2000 » 2016-12-05 0:22:48

День добрый, скажите, для трёх доменов в конфигах Exim + Dovecot подключается один сертификат или для каждого домена свой?Если для каждого свой, то как?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Exim + Dovecot + RoundCube + SSL + 3 домена

Непрочитанное сообщение xM » 2016-12-05 16:22:04

Это смотря от какого имени MX будет работать ваш сервер. Если для всех доменов он един, то достаточно одного сертификата.
Если есть необходимость в использовании различных имён хоста, то может потребоваться, по выбору
1. Отдельный сертификат для каждого имени хоста на различных IP.
2. Единый сертификат для всех имён хоста на одном IP.
3. Отдельный сертификат для каждого имени хоста на одном IP через механизм SNI.
Первые два тривиальны, а о последнем я писал статью где, в том числе, рассматривался и вариант настройки Exim и Dovecot
https://kostikov.co/post/ispolzovanie-n ... -ip-adrese
IT voodoo blog https://kostikov.co

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Exim + Dovecot + RoundCube + SSL + 3 домена

Непрочитанное сообщение f_andrey » 2016-12-05 17:36:17

Как правильно заметили, надо для начала определится в один сертификат всё запихано, легче и надёжнее или пачкой, с этим всё в общем то не просто.

У exim с несколькими сертификатами, можно но там скорее дырка от этого, так как доверять пользователю практически доступ к ФС (путь берётся из доменного имени)

У dovecot, в общем всё просто, сертификаты в local_name, если схема ящика включает ещё и домен (не только имя ящика) тогда там чуть сложнее со схемой BD, но вроде не смертельно

И да ключевое слово во всём этом SNI, может быть стоит посмотреть на какие схемы с терминацией TLS сессий до самих серверов, те ми же модулями nginx или ещё какими балансерами (сам не пробовал, но может быть получится и лучше).
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Exim + Dovecot + RoundCube + SSL + 3 домена

Непрочитанное сообщение xM » 2016-12-05 18:43:11

f_andrey писал(а): У exim с несколькими сертификатами, можно но там скорее дырка от этого, так как доверять пользователю практически доступ к ФС (путь берётся из доменного имени)
Ерунда. Никакой дыры. В противном случае прошу продемонстрировать уязвимость.

UPD. И по поводу SNI хочу сказать, что старый (экзотичный) софт его может не поддерживать.
IT voodoo blog https://kostikov.co

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Exim + Dovecot + RoundCube + SSL + 3 домена

Непрочитанное сообщение f_andrey » 2016-12-05 19:54:30

Не всё там так уж однозначно, не говорю что прям дыра есть, но даже
http://www.exim.org/exim-html-current/doc/html/spec_html/ch-encrypted_smtp_connections_using_tlsssl.html писал(а):Great care should be taken to deal with matters of case, various injection attacks in the string (../ or SQL), and ensuring that a valid filename can always be referenced; it is important to remember that $tls_sni is arbitrary unverified data provided prior to authentication.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Exim + Dovecot + RoundCube + SSL + 3 домена

Непрочитанное сообщение xM » 2016-12-05 21:03:09

f_andrey писал(а): Не всё там так уж однозначно, не говорю что прям дыра есть, но даже
Это всё очевидно. Но это не специфика Exim, а общая проблема.
Понятно, что если вы выполняете код на системе или работаете с SQL без проверки и/или экранирования получаемых извне и используемых при этом данных то у вас есть риск наступить на вышеописанные грабли. В любом софте.
IT voodoo blog https://kostikov.co