EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Непрочитанное сообщение
Morty » 2010-02-10 18:01:29
скажите свое мнение
насколько правильно я поступаю ; есть exim + TLS
и если я в начало проверок вставляю такую вещь
Код: Выделить всё
deny !encrypted = *
hosts = !+relay_from_hosts
message = please configure your mail client for use TLS
дабы все хто хочет отправить через мой серв письмо - они должны делать это
"через сертификат"
Morty
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
-
Контактная информация:
Непрочитанное сообщение
dikens3 » 2010-02-10 18:37:58
Может аутентификацию сделать через TLS?
Можно сделать 465 порт только через TLS и его сообщать таким пользователям. (Тем у кого ты релеем)
Неправильно вроде:
Код: Выделить всё
deny hosts = +relay_from_hosts
!encrypted = *
message = please configure your mail client for use TLS
Код: Выделить всё
auth_advertise_hosts main host list† *
Если сконфигурированы какие-либо серверный аутентификационные механизмы, exim информирует о них в ответе на команду HELO, лишь если хост запроса соответствует этому списку. Иначе, exim не информирует AUTH. Exim не принимает команды AUTH от клиентов, которым не сообщалось о доступности AUTH. Информированием о индивидуальных аутентификационных механизмах можно управлять использованием общей аутентификационной опции “server_advertise_condition” в индивидуальных аутентификаторах. Для дополнительных деталей смотрите раздел 33.
Определённые почтовые клиенты (например Netscape) требуют, чтобы пользователь предоставил имя пользователя и пароль для идентификации, если информируется AUTH, даже при том, что может не являться необходимым (хост может принимать сообщения от хостов из своей LAN без аутентификации, например). Опция “auth_advertise_hosts” может быть использована чтобы сделать этих клиентов более дружелюбными, путём исключения их из хостов к которым выводиться информация о AUTH.
Если вы хотите информировать о доступности AUTH лишь когда подключение зашифровано с использованием TLS, вы можете использовать тот факт, что значение этой опции раскрывается, установкой типа такой:
auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
Если “$tls_cipher” пуста, сессия не шифрованная, и результат раскрытия пуст, таким образом, не соответствуя никаким хостам. Иначе, разультат раскрытия “*”, соответствующая всем хостам
http://www.lissyara.su/doc/exim/4.62/ma ... ion/#14.13
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
dikens3
-
Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Непрочитанное сообщение
Morty » 2010-02-10 18:41:40
сейчас увы проверить не могу - вечером обязательно посмотрю и отпишу
по самому TLS:
Код: Выделить всё
tls_advertise_hosts = *
tls_certificate = /usr/local/etc/exim/certs/crt
tls_privatekey = /usr/local/etc/exim/certs/key
daemon_smtp_ports = 25 : 465 : 587
tls_on_connect_ports = 465
Morty
-
Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Непрочитанное сообщение
Morty » 2010-02-10 22:15:16
похоже все нормально:
"извне" можно отправить почту через TLS
а при простом smtp - футболит
с других серверов также все отлично работает ( с ukr.net'a и i.ua например - судя по логам обмен идет с участием TLS)
c локалки смог проверить только по логам
но если им верить то оттуда люди успешно могут отправлять и без TLS
PS: затвра еще узнаю
може где и ошибся
PSS: просто от себя все проверить не вышло - провайдер мой закрыл мне мой любимый 25 порт
так что вот так
либо логи либо exim -bh .... и прочая ерунда
Morty
-
neyro
- сержант
- Сообщения: 187
- Зарегистрирован: 2008-03-07 20:24:25
-
Контактная информация:
Непрочитанное сообщение
neyro » 2010-02-12 23:53:03
Если для своих пользователей - можно условие в аутентификаторах поставить, но с deny лучше имхо т.к. в случае аутентификаторов клиент просто вываливается с ошибкой коннекта по таймауту (который довольно большой обычно), а в случае deny ему сразу будет показываться ошибка из которой понятно, чего от него хотят.
п.с. только конфиг не правильный - он требует tls от абсолютно всех...большинство серверов уже давно сами работают через тлс(при наличии адвертайза от твоего сервера) (без авторизации..просто с сертификатами..типа гмайла), но некоторые не умеют работать с тлс...
neyro
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
-
Контактная информация:
Непрочитанное сообщение
dikens3 » 2010-02-13 1:08:16
neyro писал(а):п.с. только конфиг не правильный - он требует tls от абсолютно всех...большинство серверов уже давно сами работают через тлс(при наличии адвертайза от твоего сервера) (без авторизации..просто с сертификатами..типа гмайла), но некоторые не умеют работать с тлс...
Первый пост прочитайте, человек хочет для тех, кто его будет использовать как релей. Т.е. косвенно своих.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
dikens3