forum.lissyara.su

День добрый, скажите, для трёх доменов в конфигах Exim + Dovecot подключается один сертификат или для каждого домена свой?Если для каждого свой, то как?

Это смотря от какого имени MX будет работать ваш сервер. Если для всех доменов он един, то достаточно одного сертификата.
Если есть необходимость в использовании различных имён хоста, то может потребоваться, по выбору
1. Отдельный сертификат для каждого имени хоста на различных IP.
2. Единый сертификат для всех имён хоста на одном IP.
3. Отдельный сертификат для каждого имени хоста на одном IP через механизм SNI.
Первые два тривиальны, а о последнем я писал статью где, в том числе, рассматривался и вариант настройки Exim и Dovecot
https://kostikov.co/post/ispolzovanie-n ... -ip-adrese

Как правильно заметили, надо для начала определится в один сертификат всё запихано, легче и надёжнее или пачкой, с этим всё в общем то не просто.

У exim с несколькими сертификатами, можно но там скорее дырка от этого, так как доверять пользователю практически доступ к ФС (путь берётся из доменного имени)

У dovecot, в общем всё просто, сертификаты в local_name, если схема ящика включает ещё и домен (не только имя ящика) тогда там чуть сложнее со схемой BD, но вроде не смертельно

И да ключевое слово во всём этом SNI, может быть стоит посмотреть на какие схемы с терминацией TLS сессий до самих серверов, те ми же модулями nginx или ещё какими балансерами (сам не пробовал, но может быть получится и лучше).

f_andrey писал(а): У exim с несколькими сертификатами, можно но там скорее дырка от этого, так как доверять пользователю практически доступ к ФС (путь берётся из доменного имени)

Ерунда. Никакой дыры. В противном случае прошу продемонстрировать уязвимость.

UPD. И по поводу SNI хочу сказать, что старый (экзотичный) софт его может не поддерживать.

Не всё там так уж однозначно, не говорю что прям дыра есть, но даже

http://www.exim.org/exim-html-current/doc/html/spec_html/ch-encrypted_smtp_connections_using_tlsssl.html писал(а):Great care should be taken to deal with matters of case, various injection attacks in the string (../ or SQL), and ensuring that a valid filename can always be referenced; it is important to remember that $tls_sni is arbitrary unverified data provided prior to authentication.

f_andrey писал(а): Не всё там так уж однозначно, не говорю что прям дыра есть, но даже

Это всё очевидно. Но это не специфика Exim, а общая проблема.
Понятно, что если вы выполняете код на системе или работаете с SQL без проверки и/или экранирования получаемых извне и используемых при этом данных то у вас есть риск наступить на вышеописанные грабли. В любом софте.