forum.wfido.ru  

Вернуться   forum.wfido.ru > Прочие эхи > RU.UNIX.BSD

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 01.10.2018, 19:04
Dmitry Dolzenko
Guest
 
Сообщений: n/a
По умолчанию postfix + TLS

Dmitry Dolzenko написал(а) к All в Oct 18 17:36:33 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>

Привет!

Разбираюсь как прикрутить TLS к postfix 3.3
Добавил в main.conf

------
smtpdtls_certfile = /usr/local/etc/letsencrypt/.../fullchain.pem
smtpdtls_keyfile = /usr/local/etc/letsencrypt/live/.../privkey.pem

smtpdusetls = yes
smtpdtls_authonly = yes
smtpdtls_securitylevel = may
smtpdtlsloglevel = 2

smtptls_securitylevel = may
smtptlsloglevel = 2
------

Результат - получил статус "Шифрование - да" в yandex и gmail в
сообщениях с моего хоста.

Но смущает - по мануалу от postfix - не установил smtptls_certfile =
и smtptls_keyfile
(для smtp а не smtpd) в мануале не рекомендуется это делать. Непонятно,
как устанавливается TLS hanshake без сертификата.

Смущает еще в логах - "Untrusted TLS connection" что то подсказывает,
что он должен быть "Trusted"

Oct 1 17:17:19 n....m postfix/smtp[15950]: Untrusted TLS connection
established to mx.yandex.ru[213.180.193.89]:25: TLSv1.2 with cipher
ECDНE-RSA-AES128-GCM-SНA256 (128/128 bits)

Рад буду услышать комменты.

/D
--- ifmail v.2.15dev5.4
Ответить с цитированием
  #2  
Старый 01.10.2018, 22:32
Alex Korchmar
Guest
 
Сообщений: n/a
По умолчанию Re: postfix + TLS

Alex Korchmar написал(а) к Dmitry Dolzenko в Oct 18 21:14:39 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote:


> Разбираюсь как прикрутить TLS к postfix 3.3
> Добавил в main.conf
во-первых, зачем тебе понадобилось летсшиткриптовское дерьмо для почты?
Она у нас пока еще гвоздем к единственно-верным авторити не прибита,
вполне можно и нужно использовать self-signed сертификаты с нормальным
сроком валидности, а не автообновляемые раз в две недели.

> Но смущает - по мануалу от postfix - не установил smtptls_certfile =
> и smtptls_keyfile
> (для smtp а не smtpd) в мануале не рекомендуется это делать. Непонятно,
> как устанавливается TLS hanshake без сертификата.
у тебя, когда ты лезешь на https://google.com, спрашивают какой-то сертификат?
Вот так и устанавливается - сертификат предъявляет сервер.

> Смущает еще в логах - "Untrusted TLS connection" что то подсказывает,
> что он должен быть "Trusted"
для этого тебе понадобится связать поцфикс с CA-store или вручную собирать
fingerprint'ы всех серверов с которыми ты имеешь дело (а они будут меняться,
ибо не ты один дурак с летсшиткриптой)


> Alex

--- ifmail v.2.15dev5.4
Ответить с цитированием
  #3  
Старый 02.10.2018, 12:32
Dmitry Dolzenko
Guest
 
Сообщений: n/a
По умолчанию Re: postfix + TLS

Dmitry Dolzenko написал(а) к Alex Korchmar в Oct 18 11:06:32 по местному времени:

From: Dmitry Dolzenko <dol@mig.phys.msu.ru>

01.10.2018 21:14, Alex Korchmar пишет:
> Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote:
>
>
>> Разбираюсь как прикрутить TLS к postfix 3.3
>> Добавил в main.conf
> во-первых, зачем тебе понадобилось летсшиткриптовское дерьмо для почты?
> Она у нас пока еще гвоздем к единственно-верным авторити не прибита,
> вполне можно и нужно использовать self-signed сертификаты с нормальным
> сроком валидности, а не автообновляемые раз в две недели.

А что за проблем с привязкой к CA, можно поподробней?

>> Но смущает - по мануалу от postfix - не установил smtptls_certfile =
>> и smtptls_keyfile
>> (для smtp а не smtpd) в мануале не рекомендуется это делать. Непонятно,
>> как устанавливается TLS hanshake без сертификата.
> у тебя, когда ты лезешь на https://google.com, спрашивают какой-то
сертификат?
> Вот так и устанавливается - сертификат предъявляет сервер.

Ясно. Пример отличный.

>> Смущает еще в логах - "Untrusted TLS connection" что то подсказывает,
>> что он должен быть "Trusted"
> для этого тебе понадобится связать поцфикс с CA-store или вручную
собирать
> fingerprint'ы всех серверов с которыми ты имеешь дело (а они будут
меняться,
> ибо не ты один дурак с летсшиткриптой)

А с CA store сильно сложно связать? Наверное порт с корневыми
сертификатами скачать, и указать в конфиге postfix?

--- ifmail v.2.15dev5.4
Ответить с цитированием
  #4  
Старый 02.10.2018, 23:00
Alex Korchmar
Guest
 
Сообщений: n/a
По умолчанию Re: postfix + TLS

Alex Korchmar написал(а) к Dmitry Dolzenko в Oct 18 21:27:49 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote:

> > вполне можно и нужно использовать self-signed сертификаты с нормальным
> > сроком валидности, а не автообновляемые раз в две недели.
> А что за проблем с привязкой к CA, можно поподробней?
повторяю для тугослышащих: нет CA, нет проблемы.
В smtp нет требования "чтобы CA был тебе знаком, иначе вместо почты
ты получаешь большое-красное-окно-полное-неведомой-ебанины с кнопками
"срочно котиков" и "пожаловаться в гугль" (кнопки "продолжить" не
предусмотрено)", как, трудами гугля и его шестерок, сделали с https.

> А с CA store сильно сложно связать? Наверное порт с корневыми
> сертификатами скачать, и указать в конфиге postfix?
несильно, но бесполезно - как в общественно-политическом плане (кто сегодня
верит в честность CA?) так и в чисто техническом - все кроме гугляндекса,
которые могли бы и вообще не шифровать, все равно эта переписка слита
неограниченному кругу лиц, преспокойно используют self-signed, а кто и не
использует - никакого "sni" в smtp не предусмотрено, поэтому чей они там
тебе сертификат покажут - аллаху ведомо.

смысл имеет только ограниченный набор фингерпринтов действительно доверенных
сертификатов - например, с подконтрольных тебе же серверов.

ну и помнить, что email двадцать лет как позволяет end2end шифрование,
совершенно не нуждающееся в серверной поддержке.


> Alex

--- ifmail v.2.15dev5.4
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:07. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot