openssl
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
openssl
подскажите в каких ситуациях нужно шифровать почту?
1) если я получаю почту с POP3, сам использую пользовтаелский агент в другой сети?
2) или если на сервер работают пользователи от web сервера? (при добавлении пользователем я написал: nologin в sh)
нужно шифровать?
1) если я получаю почту с POP3, сам использую пользовтаелский агент в другой сети?
2) или если на сервер работают пользователи от web сервера? (при добавлении пользователем я написал: nologin в sh)
нужно шифровать?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
но если фильм буду передавть, то это ресурсы будет жрать в 4 раза...
много Howto написаны без шифрование или просто БД с шифрвоанием и все
вот тут без шифрвоания, это что не правильная статья?
http://www.sys-adm.org.ua/mail/mail-howto-p1.php
много Howto написаны без шифрование или просто БД с шифрвоанием и все
вот тут без шифрвоания, это что не правильная статья?
http://www.sys-adm.org.ua/mail/mail-howto-p1.php
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: openssl
это такой скрытый PR?
p.s. статья правильная, но шифровать нужно всё, да и это не поможет....
p.s. статья правильная, но шифровать нужно всё, да и это не поможет....
Z301171463546 - можно пожертвовать мне денег
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
нет, это друг lissyara'ы писал ту статью, но все равно многие Howto написаны без шифрования!zingel писал(а):это такой скрытый PR?
p.s. статья правильная, но шифровать нужно всё, да и это не поможет....
и зачем тогда протокол http сделали, надо было сразу https...
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: openssl
тогда интернет был чист, девственен, ухожен, а не то, что сейчас - помойка мозговых высеров всех кому не лень...про большого ^ брата (привет, привет) я вообще не говорю....
Z301171463546 - можно пожертвовать мне денег
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
Код: Выделить всё
Самым важным параметром является значение Common Name. В нашем случае оно должно совпадать с FQDN сервера, по которому клиенты будут обращаться к нему для отправки почты. После генерации сертификата необходимо включить поддержку TLS в файле main.cf:
хост или домен?
если у меня несколько доменов?
или там надо что-то добавить в ДНС? не могу понять что-то?
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: openssl
При создании сертификата будет спрашивать
вот туда нада вводит то(FQDN) на что будеш вешать сертификат? если сайт coolsite.com.au
то и CN:coolsite.com.au, при разных данных будет расхождение в данных сертификата на сторне клиента при принятии сертификата(несоответствие), будет ругань....
в ситуации с поддоменами в инете встречаються сертификаты не типа FQDN а в шаблоне
Код: Выделить всё
Common Name : _______
то и CN:coolsite.com.au, при разных данных будет расхождение в данных сертификата на сторне клиента при принятии сертификата(несоответствие), будет ругань....
в ситуации с поддоменами в инете встречаються сертификаты не типа FQDN а в шаблоне
Код: Выделить всё
*.cool.com
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
а как ругаться будет, сильно? если домен будет ua. com. ru etc? или это для всех MTA и pop3-ssl будет ругаться?Morty писал(а):При создании сертификата будет спрашиватьвот туда нада вводит то(FQDN) на что будеш вешать сертификат? если сайт coolsite.com.auКод: Выделить всё
Common Name : _______
то и CN:coolsite.com.au, при разных данных будет расхождение в данных сертификата на сторне клиента при принятии сертификата(несоответствие), будет ругань....
в ситуации с поддоменами в инете встречаються сертификаты не типа FQDN а в шаблонеКод: Выделить всё
*.cool.com
======================================================================
при создании ящика пишет такое:
куда копать?
Код: Выделить всё
Aug 1 02:03:00 postfix/master[1815]: daemon started -- version 2.4.6, configuration /usr/local/etc/postfix
Aug 1 02:06:20 postfix/smtpd[1829]: connect from localhost[127.0.0.1]
Aug 1 02:06:20 postfix/smtpd[1829]: setting up TLS connection from localhost[127.0.0.1]
Aug 1 02:06:20 postfix/smtpd[1829]: SSL_accept error from localhost[127.0.0.1]: -1
Aug 1 02:06:20 postfix/smtpd[1829]: warning: TLS library problem: 1829:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:562:
Aug 1 02:06:20 postfix/smtpd[1829]: lost connection after CONNECT from localhost[127.0.0.1]
Aug 1 02:06:20 postfix/smtpd[1829]: disconnect from localhost[127.0.0.1]
каталог в spool/mail не создаеться
telnet 127.0.0.1 25 зашел (перекинуло наверное на 456), он написано что принял сертификат и отправить можно 250-STARTTLS, через openssl на 993 вроде бы тоже зашел
Код: Выделить всё
# postfix start
postfix/postfix-script: starting the Postfix mail system
thedj# telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 smtp.x0.org.ua ESMTP
ehlo alex.sys-adm.local
250-smtp.x0.org.ua
250-PIPELINING
250-SIZE 5242880
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN CRAM-MD5
250-AUTH=LOGIN PLAIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Код: Выделить всё
#
# /usr/local/etc/postfix/main.cf
#
# LOCAL PATHNAME INFORMATION
#
# Указываем месторасположения директории очереди postfix. Также данная
# директория является корнем, когда postfix запускается в chroot окружении.
queue_directory = /var/spool/postfix
# Задает месторасположение всех postXXX команд (postmap, postconf, postdrop)
command_directory = /usr/local/sbin
# Задаем корень конфигурационных файлов, для более "быстрой навигации".
# Например, теперь можно использовать $base/header_checks вместо
# /usr/local/etc/postfix/header_checks. Мелочь, а приятно.
base = /usr/local/etc/postfix
# Задает месторасположение всех программ демонов postfix. Это программы,
# перечисленные в файле master.cf. Владельцем этой директории должен быть root
daemon_directory = /usr/local/libexec/postfix
# QUEUE AND PROCESS OWNERSHIP
#
# Задает владельца очереди postfix, а также большинства демонов postfix.
# В целях безопасности, необходимо использовать выделенную учетную запись.
# Т.е. от данного пользователя не должны запускаться какие-либо процессы
# в системе, а также он не должен являться владельцем каких-либо файлов.
mail_owner = postfix
# Права по умолчанию, использующиеся local delivery agent. Не указывайте
# здесь привилегированного пользователя или владельца postfix.
default_privs = nobody
# INTERNET HOST AND DOMAIN NAMES
#
# Задает имя хоста в формате FQDN. По умолчанию, используется значение,
# возвращаемой функцией gethostname().
#myhostname = mail.sys-adm.org.ua
myhostname = smtp.x0.org.ua
# Задает имя нашего домена. По умолчанию используется значение $myhostname
# минус первый компонент.
mydomain = x0.org.ua
# SENDING MAIL
#
# Данный параметр указывает имя домена, которое используется при отправлении
# почты с этой машины. По умолчанию, используется имя локальной машины -
# $myhostname. Для согласованности между адресами отправителя и получателя,
# myorigin также указывает доменное имя, которое добавляется к адресу
# получателя для которого не указана доменная часть.
# myorigin = $myhostname (отправлять письма от: "alex@mail.sys-adm.org.ua")
# myorigin = $mydomain (отправлять письма от: "alex@sys-adm.org.ua")
myorigin = $mydomain
# RECEIVING MAIL
#
# Указывает адреса сетевых интерфейсов, на которых будет принимать почту
# наша почтовая система. По умолчанию используются все активные интерфейсы
# на машине. При изменении этого праметра необходимо перезапустить postfix
inet_interfaces = all
# Данный параметр указывает список доменов, для которых почта будет доставляться
# локально, а не пересылаться на другой хост. Не указывайте здесь виртуальные
# домены, для этого есть специальный параметр virtual_mailbox_domains
mydestination = $myhostname, localhost.$mydomain, localhost
# REJECTING MAIL FOR UNKNOWN LOCAL USERS
#
# Таблица просмотра со всеми именами и адресами локальных получателей.
local_recipient_maps = unix:passwd.byname $alias_maps
# TRUST AND RELAY CONTROL
#
# Данный параметр задает список "доверенных" клиентов, которые обладают
# некоторыми привилегиями. В частности доверенным SMTP клиентам дозволено
# пересылать почту через postfix. Если вы не доверяете никому, то оставьте
# только 127.0.0.0/8
mynetworks = 127.0.0.0/8
# ALIAS DATABASE
#
# Данный параметр указывает список алиасов, используемый local delivery agent
# После внесения изменений в данный файл необходимо выполнить команду newaliases
# или postalias /etc/mail/aliases
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
# SHOW SOFTWARE VERSION OR NOT
#
# Желательно сообщать как можно меньше информации о нашем почтовом сервере.
# Согласно требованиям SMTP протокола вы должны указать $myhostname вначале текста
smtpd_banner = $myhostname ESMTP
# DEBUGGING CONTROL
#
# Задает уровень информативности, когда имя или адрес SMTP клиента
# или сервера соответствует шаблону, заданному в параметре debug_peer_list.
# Следует использовать только во время отладки.
# debug_peer_list = 127.0.0.1, sys-adm.org.ua
debug_peer_level = 2
# RESTRICTIONS
#
# client, helo, sender, recipient, data, end-of-data
#
# Дополнительные ограничения доступа smtp сервера в контексте
# smtp запроса клиента
smtpd_client_restrictions = permit_mynetworks,
permit_sasl_authenticated,
check_client_access hash:$base/client_access,
reject_unknown_client_hostname
# Дополнительные ограничения, применяемые сервером Postfix
# в контексте SMTP команды HELO
smtpd_helo_restrictions = check_helo_access hash:$base/hello_access,
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname
# Дополнительные ограничения, применяемые сервером Postfix
# в контексте команды MAIL FROM
smtpd_sender_restrictions = permit_mynetworks,
check_sender_access hash:$base/sender_access,
reject_authenticated_sender_login_mismatch,
reject_unknown_sender_domain,
reject_unlisted_sender,
reject_unverified_sender
# Дополнительные ограничения, применяемые сервером Postfix
# в контексте команды RCPT TO
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_recipient_access hash:$base/recipient_access,
reject_unlisted_recipient,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient,
reject_unverified_recipient
# Отклонять команду ETRN
smtpd_etrn_restrictions = reject
# Заставляем отклонять почту с неизвестным адресом отправителя.
# Позволяет бороться с червями и некоторыми вирусами.
smtpd_reject_unlisted_sender = yes
# Отключает SMTP команду VRFY. В результате чего, невозможно определить
# существование определенного ящика. Данная техника (применение команды
# VRFY) используется спамерами для сбора имен почтовых ящиков.
disable_vrfy_command = yes
# Требуем чтобы адреса, передаваемые в SMTP командах MAIL FROM и RCPT TO
# заключались в <>, а также не содержали стилей или фраз RFC 822.
strict_rfc821_envelopes = yes
# Скрываем отображение имени таблицы получателей в ответе "User unknown"
# yes: User unknown in virtual mailbox table
# no: User unknown
show_user_unknown_table_name = no
# Данный адрес будет использоваться при проверки существования адреса отправителя.
address_verify_sender = <>
# Числовой код ответа SMTP сервера Postfix в случае, когда адрес
# получателя отвергнут ограничением reject_unverified_sender.
unverified_sender_reject_code = 550
# Требуем, чтобы удаленный SMTP клиент представлял себя
# в начале SMTP сессии с помощью команды HELO или EHLO.
smtpd_helo_required = yes
# Всегда отправлять EHLO вначале SMTP сессии
smtp_always_send_ehlo = yes
# Максимальное количество ошибок, которое может сделать удаленный SMTP клиент.
# При превышение данного числа Postfix разорвет соединение.
smtpd_hard_error_limit = 8
# Включаем поддержку sasl аутентификации
smtpd_sasl_auth_enable = yes
# Имя приложения, используемого для инициализации SASL сервера.
# Данный параметр задает имя конфигурационного файла. Имя smtpd
# будет соответсвовать конфигурационному файлу SASL - smtpd.conf.
smtpd_sasl_application_name = smtpd
# Включает функциональную совместимость с SMTP клиентами, которые
# используют устаревшую версию команды AUTH (RFC 2554),
# например, outlook express 4 и MicroSoft Exchange version 5.0.
broken_sasl_auth_clients = yes
# Отвергаем методы, позволяющие анонимную аутентификацию
smtpd_sasl_security_options = noanonymous
# Optional lookup table with the SASL login names
# that own sender (MAIL FROM) addresses
smtpd_sender_login_maps = mysql:$base/mysqlLookupMaps/sender.conf
# Указываем, где postfix должен брать информацию о алиасах
virtual_alias_maps = mysql:$base/mysqlLookupMaps/alias.conf
# Указываем, где postfix должен брать информацию о доменах
virtual_mailbox_domains = mysql:$base/mysqlLookupMaps/domain.conf
# Указываем, где postfix должен брать информацию о почтовых ящиках
virtual_mailbox_maps = mysql:$base/mysqlLookupMaps/mailbox.conf
virtual_mailbox_base = /home/spool/mail
# Настраиваем поддержку квот
virtual_mailbox_limit_maps = mysql:$base/mysqlLookupMaps/quota.conf
virtual_maildir_extended=yes
virtual_mailbox_limit_override=yes
virtual_create_maildirsize = yes
virtual_overquota_bounce = yes
virtual_maildir_limit_message="Sorry, the user's maildir has overdrawn his diskspace quota, please try again later"
mailbox_size_limit = 52428800
message_size_limit = 5242880
# 1981 - uid и gid пользователя и группы virtual соответственно
virtual_gid_maps = static:1981
virtual_uid_maps = static:1981
virtual_minimum_uid = 1000
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /usr/local/etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /usr/local/etc/postfix/ssl/smtpd.crt
smtpd_tls_CAfile = /usr/local/etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
если не кто не знает почему он там ругеться, может кто-то сказать пожалуйста кто какую связку использует MTA + pop3 вместе с шифрвоанием??
и на хостинге я что-то не видел чтобы шифрование использовалось!!! на хостинге хоть где-то кто-то видел чтобы шифрование было с почтой?
и на хостинге я что-то не видел чтобы шифрование использовалось!!! на хостинге хоть где-то кто-то видел чтобы шифрование было с почтой?
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
шифрование фтопку, не нашел нифига!!!
или скажите кто какую связку использовал с шифрованием?
или скажите кто какую связку использовал с шифрованием?
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: openssl
почти на всех приличных хостингах шифрование есть.......самый простой вариант qmail+vpopmail+maildropи на хостинге я что-то не видел чтобы шифрование использовалось!!! на хостинге хоть где-то кто-то видел чтобы шифрование было с почтой?
Z301171463546 - можно пожертвовать мне денег
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
спасибо, так и сделаю
http://www.mail-archive.com/openldap-so ... 13206.html
тут написано что ругаеться на FQDN
про Common Name написал свой домен may.dom.com, может smpt.dom.com надо было поставить, хотя врядли
в общем не понятная проблема....
http://www.mail-archive.com/openldap-so ... 13206.html
тут написано что ругаеться на FQDN
про Common Name написал свой домен may.dom.com, может smpt.dom.com надо было поставить, хотя врядли
в общем не понятная проблема....
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: openssl
CN = FQDN = SMTP HELLO
вот так должно быть чтоб не было проблем
вот так должно быть чтоб не было проблем
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
У меня postfix + mysql
где это должно быть?
или вы про openldap?
где это должно быть?
или вы про openldap?
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: openssl
Z301171463546 - можно пожертвовать мне денег
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
я именно по этому запросу смотрел 100 раз!! сертификат делал по разному, конфиг менял много раз...
все тоже самое пишет
в консоле через openssl подключился к 456 порту , он написал что сертифика принял и что все ок, а при создании ящика пишет такое и ящики не содаються
а где ошибка в конфиге или нет? может я где затупил в другом месте?
все тоже самое пишет
в консоле через openssl подключился к 456 порту , он написал что сертифика принял и что все ок, а при создании ящика пишет такое и ящики не содаються
а где ошибка в конфиге или нет? может я где затупил в другом месте?
- zingel
- beastie
- Сообщения: 6204
- Зарегистрирован: 2007-10-30 3:56:49
- Откуда: Moscow
- Контактная информация:
Re: openssl
в логах нужно смотреть, чего не хватает....
Z301171463546 - можно пожертвовать мне денег
- ProFTP
- подполковник
- Сообщения: 3388
- Зарегистрирован: 2008-04-13 1:50:04
- Откуда: %&й
- Контактная информация:
Re: openssl
в логах больше ничего не пишет кроме этого,
только что перезапустил все сервисы...
в логах появилось тольк это:
попробую тогда другую связку...
только что перезапустил все сервисы...
Код: Выделить всё
./courier-imap-imapd-ssl start
Starting courier_authdaemond.
/usr/local/etc/rc.d/courier-authdaemond start
Starting courier_authdaemond.
Код: Выделить всё
Aug 2 20:23:02 t authdaemond: stopping authdaemond children
Aug 2 20:23:05 t authdaemond: modules="authmysql", daemons=5
Aug 2 20:23:05 t authdaemond: Installing libauthmysql
Aug 2 20:23:05 t authdaemond: Installation complete: authmysql
попробую тогда другую связку...
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
Re: openssl
У вас клинический случай? Вы МТА от pop3 сервера отличаете? Советую прочитать - http://www.sys-adm.org.ua/mail/mail-architech.php
Лучше несколько раз
Лучше несколько раз