Exim + Dovecot + RoundCube + SSL + 3 домена

gyurza2000

День добрый, скажите, для трёх доменов в конфигах Exim + Dovecot подключается один сертификат или для каждого домена свой?Если для каждого свой, то как?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

xM · Непрочитанное сообщение xM » 2016-12-05 16:22:04

Это смотря от какого имени MX будет работать ваш сервер. Если для всех доменов он един, то достаточно одного сертификата.
Если есть необходимость в использовании различных имён хоста, то может потребоваться, по выбору
1. Отдельный сертификат для каждого имени хоста на различных IP.
2. Единый сертификат для всех имён хоста на одном IP.
3. Отдельный сертификат для каждого имени хоста на одном IP через механизм SNI.
Первые два тривиальны, а о последнем я писал статью где, в том числе, рассматривался и вариант настройки Exim и Dovecot
https://kostikov.co/post/ispolzovanie-n ... -ip-adrese

f_andrey

Как правильно заметили, надо для начала определится в один сертификат всё запихано, легче и надёжнее или пачкой, с этим всё в общем то не просто.

У exim с несколькими сертификатами, можно но там скорее дырка от этого, так как доверять пользователю практически доступ к ФС (путь берётся из доменного имени)

У dovecot, в общем всё просто, сертификаты в local_name, если схема ящика включает ещё и домен (не только имя ящика) тогда там чуть сложнее со схемой BD, но вроде не смертельно

И да ключевое слово во всём этом SNI, может быть стоит посмотреть на какие схемы с терминацией TLS сессий до самих серверов, те ми же модулями nginx или ещё какими балансерами (сам не пробовал, но может быть получится и лучше).

xM · Непрочитанное сообщение xM » 2016-12-05 18:43:11

f_andrey писал(а): У exim с несколькими сертификатами, можно но там скорее дырка от этого, так как доверять пользователю практически доступ к ФС (путь берётся из доменного имени)

Ерунда. Никакой дыры. В противном случае прошу продемонстрировать уязвимость.

UPD. И по поводу SNI хочу сказать, что старый (экзотичный) софт его может не поддерживать.

f_andrey

Не всё там так уж однозначно, не говорю что прям дыра есть, но даже

http://www.exim.org/exim-html-current/doc/html/spec_html/ch-encrypted_smtp_connections_using_tlsssl.html писал(а):Great care should be taken to deal with matters of case, various injection attacks in the string (../ or SQL), and ensuring that a valid filename can always be referenced; it is important to remember that $tls_sni is arbitrary unverified data provided prior to authentication.

xM · Непрочитанное сообщение xM » 2016-12-05 21:03:09

f_andrey писал(а): Не всё там так уж однозначно, не говорю что прям дыра есть, но даже

Это всё очевидно. Но это не специфика Exim, а общая проблема.
Понятно, что если вы выполняете код на системе или работаете с SQL без проверки и/или экранирования получаемых извне и используемых при этом данных то у вас есть риск наступить на вышеописанные грабли. В любом софте.

forum.lissyara.su