заставлять использовать TLS

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

заставлять использовать TLS

Непрочитанное сообщение Morty » 2010-02-10 18:01:29

скажите свое мнение
насколько правильно я поступаю ; есть exim + TLS
и если я в начало проверок вставляю такую вещь

Код: Выделить всё

deny !encrypted      = *
        hosts           = !+relay_from_hosts
        message         = please configure your mail client for use TLS
дабы все хто хочет отправить через мой серв письмо - они должны делать это
"через сертификат"

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: заставлять использовать TLS

Непрочитанное сообщение dikens3 » 2010-02-10 18:37:58

Может аутентификацию сделать через TLS?
Можно сделать 465 порт только через TLS и его сообщать таким пользователям. (Тем у кого ты релеем)
Неправильно вроде:

Код: Выделить всё

deny  hosts           = +relay_from_hosts
      !encrypted      = *
      message         = please configure your mail client for use TLS

Код: Выделить всё

auth_advertise_hosts  	 main  	 host list†  	 *

   Если сконфигурированы какие-либо серверный аутентификационные механизмы, exim информирует о них в ответе на команду HELO, лишь если хост запроса соответствует этому списку. Иначе, exim не информирует AUTH. Exim не принимает команды AUTH от клиентов, которым не сообщалось о доступности AUTH. Информированием о индивидуальных аутентификационных механизмах можно управлять использованием общей аутентификационной опции “server_advertise_condition” в индивидуальных аутентификаторах. Для дополнительных деталей смотрите раздел 33.
   Определённые почтовые клиенты (например Netscape) требуют, чтобы пользователь предоставил имя пользователя и пароль для идентификации, если информируется AUTH, даже при том, что может не являться необходимым (хост может принимать сообщения от хостов из своей LAN без аутентификации, например). Опция “auth_advertise_hosts” может быть использована чтобы сделать этих клиентов более дружелюбными, путём исключения их из хостов к которым выводиться информация о AUTH.
   Если вы хотите информировать о доступности AUTH лишь когда подключение зашифровано с использованием TLS, вы можете использовать тот факт, что значение этой опции раскрывается, установкой типа такой:

auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}

   Если “$tls_cipher” пуста, сессия не шифрованная, и результат раскрытия пуст, таким образом, не соответствуя никаким хостам. Иначе, разультат раскрытия “*”, соответствующая всем хостам
http://www.lissyara.su/doc/exim/4.62/ma ... ion/#14.13
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: заставлять использовать TLS

Непрочитанное сообщение Morty » 2010-02-10 18:41:40

сейчас увы проверить не могу - вечером обязательно посмотрю и отпишу
по самому TLS:

Код: Выделить всё

tls_advertise_hosts             = *
tls_certificate                 = /usr/local/etc/exim/certs/crt
tls_privatekey                  = /usr/local/etc/exim/certs/key
daemon_smtp_ports               = 25 : 465 : 587
tls_on_connect_ports            = 465

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: заставлять использовать TLS

Непрочитанное сообщение Morty » 2010-02-10 22:15:16

похоже все нормально:
"извне" можно отправить почту через TLS
а при простом smtp - футболит

с других серверов также все отлично работает ( с ukr.net'a и i.ua например - судя по логам обмен идет с участием TLS)

c локалки смог проверить только по логам :-D
но если им верить то оттуда люди успешно могут отправлять и без TLS

PS: затвра еще узнаю :smile: може где и ошибся
PSS: просто от себя все проверить не вышло - провайдер мой закрыл мне мой любимый 25 порт :-D так что вот так
либо логи либо exim -bh .... и прочая ерунда

neyro
сержант
Сообщения: 187
Зарегистрирован: 2008-03-07 20:24:25
Контактная информация:

Re: заставлять использовать TLS

Непрочитанное сообщение neyro » 2010-02-12 23:53:03

Если для своих пользователей - можно условие в аутентификаторах поставить, но с deny лучше имхо т.к. в случае аутентификаторов клиент просто вываливается с ошибкой коннекта по таймауту (который довольно большой обычно), а в случае deny ему сразу будет показываться ошибка из которой понятно, чего от него хотят.

п.с. только конфиг не правильный - он требует tls от абсолютно всех...большинство серверов уже давно сами работают через тлс(при наличии адвертайза от твоего сервера) (без авторизации..просто с сертификатами..типа гмайла), но некоторые не умеют работать с тлс...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: заставлять использовать TLS

Непрочитанное сообщение dikens3 » 2010-02-13 1:08:16

neyro писал(а):п.с. только конфиг не правильный - он требует tls от абсолютно всех...большинство серверов уже давно сами работают через тлс(при наличии адвертайза от твоего сервера) (без авторизации..просто с сертификатами..типа гмайла), но некоторые не умеют работать с тлс...
Первый пост прочитайте, человек хочет для тех, кто его будет использовать как релей. Т.е. косвенно своих.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.