exim + SSL

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Sid11
проходил мимо

exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-02 17:25:12

Господа, серьезная проблема, уже и не знаю куда ткнуться...

есть exim настроен с openssl, работает по starttls... и все бы ничего... ssl хочу использовать для пользователей из интернета, что хотят работать через наш сервер (наши торговые агенты)...

столкнулся с проблемой, что при подключении к starttsl , если у пользователя нет сертификата, exim данный сертификат ему выдает... соответственно дальше остается только авторизоваться делай что хочешь... есть ли возможность запретить выдавать сертификат exim-у, т.е. только проверять предоставляет ли пользователь серстификат, если нет - отворот поворот, если да - добро пожаловать...

настройки TLS следующие:

Код: Выделить всё

tls_advertise_hosts = *
tls_verify_hosts = 192.0.0.145
auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}} : 192.168.0.0/24


 tls_certificate = /etc/ssl/cert1.pem
 tls_privatekey = /etc/ssl/key1.pem
причем пробовал опции

tls_verify_certificates
tls_verify_hosts
tls_try_verify_hosts


все равно, либо не работает, либо выдается сертификат по требованию... :(((
кто-нидь с этим работал? есть ли вообще возможность это запретить???!!!... :((

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: exim + SSL

Непрочитанное сообщение hizel » 2008-12-02 18:03:02

и снова здравствуйте :)
по сабжу, это нормальное поведение
есть пара сертификат + ключ к нему, чтобы подписаться сертификатом нужен ключ, ключ клиенту не выдается, все довольные улыбаются ;)
думаю вам, чтобы было сухо и комфортно необходимо сделать свой корневой сертификат и подписать им свой почтовик и подобное
клиентам выдать сертификат корневой, чтобы они импортировали его в список своих доверенных и далее строго настрого наказать, что
при работе с вашим почтовиком никаких предупреждений и ошибок по поводу ssl, tls и сертификатов не должно быть иначе атата
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-03 11:19:13

Да, я нашел вчера вечером вариант, когда создается корневой сертификат, создается серверный сертификат на DNS имя сервера.. создается запрос на подпись сертификата, подписывается серверный сертификат при помощи корневого сертификата и приватного ключа корневого сертификата... (помоему это то, о чем вы говорили...)

и действительно, если корневого сертификата нет у пользователя в доверенных сертификатах, импорт сертификата сервера не происходит... в логах бата есть данные о сертификатах и сообщение об ошибке:

!03.12.2008, 10:57:45: SEND - Приветствие TLS не завершено. Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден).


В логах же exim-а ошибок нет :(( там нормальное tls соединение и соответственно авторизация проходит и письмо отправляется... :((

авторизация разрешена только тем у кого шифровано соединение:
auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}

либо я что-то не так сделал... :((
а важно как раз что бы невозможно было отправить письмо, а сам exim походу ошибки не видит... т.е как это письмо идентифицировать , что бы пропускать или не пропускать я не знаю... :((

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: exim + SSL

Непрочитанное сообщение hizel » 2008-12-03 14:57:45

exim об этой ошибке и не узнает, клиент запрашивает сертификат, сервер отдает, клиент просто отключается :)
не пойму я вас, в чем ваша проблема :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-04 13:37:11

hizel писал(а):exim об этой ошибке и не узнает, клиент запрашивает сертификат, сервер отдает, клиент просто отключается :)
не пойму я вас, в чем ваша проблема :(
Я как раз и хочу, что бы сервер не отдавал сертификат, а, при попытке TLS соединения, только проверял предоставляется ли сертификат клиентом и действительный ли это сертификат...
вот и все..

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-08 13:53:35

господа, неужели это такой простой или такой сложный вопрос, что просто никто не может подсказать?!!!! ....

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: exim + SSL

Непрочитанное сообщение Alex Keda » 2008-12-08 14:04:52

никто походу понять не может что вы хотите
Убей их всех! Бог потом рассортирует...

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-09 10:43:49

даже и не знаю, что сказать...
попробую еще раз объяснить:

при подключении к exim-у через starttls без предъявления сертификата tls, сервер сам предоставляет клиенту нужный сертификат, после чего происходит работа через него...
я бы хотел что бы, если клиент не предоставляет сертификат, подключаясь через starttls, то ему бы давался отворот-поворот.
Т.е. чтобы сервер не раздавал сертификаты, а лишь проверял их.

как это сделать я не знаю...через exim пробовал много... описал это вначале темы...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: exim + SSL

Непрочитанное сообщение Alex Keda » 2008-12-09 11:10:33

хм...
даже не знаю =(
чё-то в доке такого не видел....
=======
вы сертификаты вместо авторизации хотите чтоли прикрутить?
Убей их всех! Бог потом рассортирует...

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-09 11:41:17

да вот именно... я тоже не нашел... более того даже не знаю куда ткнуться, хотя вроде бы идея весьма простая... :( неужели никто с этим не работал... :((

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: exim + SSL

Непрочитанное сообщение hizel » 2008-12-09 11:51:30

для exim видимо вам нужно посмотреть
http://www.lissyara.su/?id=1238
сюда в раздел 38.7

если это то чего вы хотите ;)
Пы.Сы. вспомнил SSL_CTX_set_verify, как то напоролся когда jabberd2 ставил %:)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-10 11:13:48

hizel писал(а):для exim видимо вам нужно посмотреть
http://www.lissyara.su/?id=1238
сюда в раздел 38.7

если это то чего вы хотите ;)
Пы.Сы. вспомнил SSL_CTX_set_verify, как то напоролся когда jabberd2 ставил %:)
опции :

tls_verify_certificates
tls_verify_hosts
tls_try_verify_hosts


я пробовал... по описанию они вроде делают то , что надо... а реально что то у мну не получилось...
попробую еще раз...

а опцию SSL_CTX_set_verify - я поищу...

спасибо

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: exim + SSL

Непрочитанное сообщение hizel » 2008-12-10 11:48:50

это не опция, а функция из openssl библиотеки, посмотрите man SSL_CTX_set_verify
там описание логики работы, они в принципе применимы для всех SSL подключений,
другое дело как с ним работает конкретное приложение
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Sid11
проходил мимо

Re: exim + SSL

Непрочитанное сообщение Sid11 » 2008-12-10 16:01:22

спасибо за подсказку!!!
в ближайшее время обязательно посмотрю!!