ok - dzieki jutro sprawdze
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| exim i certyfikaty http://forum.freesco.pl/viewtopic.php?f=24&t=13293 |
Strona 1 z 2 |
| Autor: | mrus [ poniedziałek, 21 sierpnia 2006, 21:05 ] |
| Tytuł: | exim i certyfikaty |
Witam wszystkich mam takie pytanko odnosnie certyfikatow w eximie. Zainstalowalem certyfikat wedlug opisu na stronie :http://www.markomp.net/ wszystko poszlo pieknie bez zadnych problemow, z tym ze zastanawia mnie jedna rzecz, otoz jesli wylacze w kliencie poczty logowanie przez ssl i opcje serwer wymaga uwierzytelnienia to i tak moge deostac sie do poczty wysylac i odbierac maile - czyli niezaleznie od tego czy te opcje sa wlaczone czy tez nie to bez problemow moge wykonywac wszelkie operacje na swoim koncie. Czy tak ma byc? Nie bardzo sie znam na tym ale wydaje mi sie ze nie. Moze cos trzeba ustawic w samym eximie. Bardzo prosze kolegow o rade |
|
| Autor: | viater [ poniedziałek, 21 sierpnia 2006, 21:08 ] |
| Tytuł: | |
Jeżeli wysyłasz z sieci lokalnej i w exim.conf masz linijkę: hostlist relay_from_hosts = 127.0.0.1 : 192.168.0/24 - to normalne. Jeżeli chcesz wymusić korzystanie z bezpiecznego połączenia nawet w sieci lokalnej - wyrzuć adres/maskę sieci, czyli zostaw tylko "localhosta": hostlist relay_from_hosts = 127.0.0.1 |
|
| Autor: | makog [ poniedziałek, 21 sierpnia 2006, 21:19 ] |
| Tytuł: | |
heheh to jeszcze ktos to czyta:) |
|
| Autor: | mrus [ poniedziałek, 21 sierpnia 2006, 21:23 ] |
| Tytuł: | |
Dla sprawdzenia skasowalem maske i ip sieci wewnetrznej ale to nic nie pomoglo dalej jest tak samo jak bylo makog pisze: heheh to jeszcze ktos to czyta:) - bardzo fajnie i przystepnie napisany artykul
|
|
| Autor: | makog [ poniedziałek, 21 sierpnia 2006, 21:27 ] |
| Tytuł: | |
z lanu byc moze tak, ale z zewnatrz to juz napewno sie tak nieda. |
|
| Autor: | mrus [ poniedziałek, 21 sierpnia 2006, 21:29 ] |
| Tytuł: | |
ok - dzieki jutro sprawdze
|
|
| Autor: | viater [ poniedziałek, 21 sierpnia 2006, 22:35 ] |
| Tytuł: | |
mrus pisze: Dla sprawdzenia skasowalem maske i ip sieci wewnetrznej ale to nic nie pomoglo dalej jest tak samo jak bylo
Niemożliwe - exima restartowałeś po zmianie ? |
|
| Autor: | Maciek [ poniedziałek, 21 sierpnia 2006, 23:48 ] |
| Tytuł: | |
Coś mi w tych wyjaśnieniach nie pasuje. Otóż o ile można zablokować użytkownikom używanie POP3 blokując port 110, o tyle niestety nie można wymusić na użytkownikach używania wyłącznie SMTPS (port 465), ponieważ port 25 musi być dostępny dla innych serwerów, z którymi nasz będzie wymieniał pocztę. Zatem niezależnie od wpisów w konfiguracji klient zawsze będzie mógł korzystać z SMTP. Jeśli jest mało ostrożny, to wybierze tę opcję. Gdy dostaje net przez radio, to może się kiedyś naciąć. Po co jest klucz i certyfikat? Nie tylko żeby chronić klienta, ale służy także do komunikacji między serwerami pocztowymi (TLS). Jeśli w nagłówku poczty znajdziecie wpis podobny do tego - by xxx.pl with esmtps (SMTP) (tls_cipher TLSv1:DES-CBC3-SHA:168) - to znaczy, że serwery używały TLS. Obecnie chyba już innych zresztą nie ma. |
|
| Autor: | viater [ wtorek, 22 sierpnia 2006, 00:23 ] |
| Tytuł: | |
W takim razie wyjaśnij mi Maćku, dlaczego przy próbie wysłania przez port 25 (na adres odbiorcy "zewnętrzny" - czyli którego część domenowa nie należy do local_domains) mój klient pocztowy dostaje komunikat: "550 Authentication PLAIN or LOGIN" ?? Opcja "serwer wymaga uwierzytelnienia" jast zaznaczona. Oczywiście w konfigu mam: hostlist relay_from_hosts = 127.0.0.1 Wg mnie to jest tak: acl_check_auth: accept encrypted = * deny message = STARTTLS required before AUTH Czyli żeby się autentykować, musisz korzystać z bezpiecznego połączenia, CHYBA, że wysyłasz z hosta, który jest na liście relay_from_hosts Nie wiem tylko, dlaczego wiadomość nie jest od razu odrzucana w acl_check_auth, tylko później, w acl_check_rcpt - stąd mylący komunikat. |
|
| Autor: | mrus [ wtorek, 22 sierpnia 2006, 11:42 ] |
| Tytuł: | |
a ja skasowałem zakres sieci wew. z relay_from_hosts a i tak pogę dostać sie na konto bez uwierzytelniania i ssl (exima restartowałem) |
|
| Autor: | mrus [ wtorek, 22 sierpnia 2006, 12:43 ] |
| Tytuł: | |
co nalezy zrobić aby exim obslugiwal bezpieczne uwierzytelnanie hasla? |
|
| Autor: | viater [ wtorek, 22 sierpnia 2006, 14:32 ] |
| Tytuł: | |
mrus pisze: a ja skasowałem zakres sieci wew. z relay_from_hosts a i tak pogę dostać sie na konto bez uwierzytelniania i ssl (exima restartowałem) Jedno pytanie: wysyłasz NA konto "zewnętrzne" czy w jednej z twoich domen lokalnych (mam na myśli adres odbiorcy) ? mrus pisze: co nalezy zrobić aby exim obslugiwal bezpieczne uwierzytelnanie hasla?
W domyślej konfiguracji obsługuje bez problemu. Skonfigurować klienta pocztowego, żeby używał bezpiecznego połączenia na porcie 465. |
|
| Autor: | Maciek [ wtorek, 22 sierpnia 2006, 15:06 ] |
| Tytuł: | |
Odpowiem zbiorczo. Cytuj: "550 Authentication PLAIN or LOGIN" ?? Ten komunikat zawsze jest wówczas, gdy z jakiegoś powodu zawodzi mechanizm autentykacji. Błąd jest z reguły po stronie klienta poczty. Uważam, że przestawiając sposób wysyłania w kliencie, popełniasz jakiś błąd. Cytuj: accept encrypted = * deny message = STARTTLS required before AUTH To z kolei wymusza korzystanie z TLS ze wszystkimi serwerami. Ten sam wpis mam w eximie 3.36 na Freesco a w nim na pewno nie ma SSL. Cytuj: Czyli żeby się autentykować, musisz korzystać z bezpiecznego połączenia, CHYBA, że wysyłasz z hosta, który jest na liście relay_from_hosts Brednie! Używam dwóch kont pocztowych na eximie i z reguły loguję się na nie z zewnątrz, z bardzo różnych lokalizacji, których nie mam w relay_from... i zawsze mi to działa, mało tego administruję tymi serwerami, więc ustawiam ludziom ich programy, jeśli używają OE, to daję sobie spokój z SSL, bo to wymaga zapisania certyfikatu na dysku klienta, a mimo to poczta działa z dowolnej lokalizacji. Cytuj: zakres sieci wew. z relay_from_hosts a i tak pogę dostać sie na konto bez uwierzytelniania i ssl (exima restartowałem)
To znaczy że coś w konfigu skopałeś. Polecaną procedurą jest dokonanie wyłącznie niezb ędnych zmian (wpisanie swojej domeny) - nie rób niczego, czego nie rozumiesz. Domyślny konfig exima obejmuje wszelkie znane nam zabezpieczenia, i w zasadzie exim jest najlepiej przetestowanym programmem w NND. |
|
| Autor: | viater [ wtorek, 22 sierpnia 2006, 15:40 ] |
| Tytuł: | |
Maciek, może wysyłasz na konta lokalne ? W takim przypadku u mnie też działa, w przeciwnym razie napewno u mnie Exim nie przyjmie żadnej wiadomości z adresem docelowym spoza jego lokalnych domen, jeżeli klient się nie autoryzuje. |
|
| Autor: | mrus [ wtorek, 22 sierpnia 2006, 16:06 ] |
| Tytuł: | |
Cytuj: Cytuj: zakres sieci wew. z relay_from_hosts a i tak pogę dostać sie na konto bez uwierzytelniania i ssl (exima restartowałem) To znaczy że coś w konfigu skopałeś. Polecaną procedurą jest dokonanie wyłącznie niezb ędnych zmian (wpisanie swojej domeny) - nie rób niczego, czego nie rozumiesz. Domyślny konfig exima obejmuje wszelkie znane nam zabezpieczenia, i w zasadzie exim jest najlepiej przetestowanym programmem w NND. Konfiguracje przeprowadzilem za pomoca konfiguratora z nndconf - a mimo tego jak wlacze w kliencie poczty bezpieczne uwierzytelnianie hasla to wywala mi komunikat: serwer nie obsluguje bezpiecznego uwierzytelnania hasla - jak odznacze to wszystko jest ok |
|
| Autor: | viater [ wtorek, 22 sierpnia 2006, 16:18 ] |
| Tytuł: | |
Jeszcze a'propos tego: Maciek pisze: ...
Cytuj: accept encrypted = * deny message = STARTTLS required before AUTH To z kolei wymusza korzystanie z TLS ze wszystkimi serwerami. Śmiem nie do końca się z tym zgodzić 
Przecież to nie dotyczy tylko serwerów, lecz dowolnego połączenia SMTP (także MUA a jakby się kto uparł to telnetem pewnie też) i nie pozwala na autoryzację, jeżeli połączenie nie jest szyfrowane. Tak więc jeżeli klient (MUA) chce się autoryzować, musi to zrobić w szyfrowanym połączeniu (TLS albo SSL). Z kolei żeby w ogóle coś wysłać (na adres spoza domen lokalnych) MUSI się autoryzować (to wynika z innych części konfigu) - więc jakim cudem u licha OE wysyła Ci maile na nieszyfrowanym połączeniu !? |
|
| Autor: | viater [ wtorek, 22 sierpnia 2006, 16:20 ] |
| Tytuł: | |
Mrus - z jakiego klienta poczty korzystasz i jak go konfigurujesz ? |
|
| Autor: | makog [ wtorek, 22 sierpnia 2006, 16:21 ] |
| Tytuł: | |
http://www.markomp.net/nnd/exim/exim.conf sciagnij sobie ten config pozmioeniaj tylko wpisy markomp.net na swoja domene (zmiany w czterech miejscach), nic wiecej w nim nie zmieniaj i sprawdz. |
|
| Autor: | mrus [ wtorek, 22 sierpnia 2006, 16:36 ] |
| Tytuł: | |
viater pisze: Mrus - z jakiego klienta poczty korzystasz i jak go konfigurujesz ?
outlook express, konfiguruje go wedlug opisu ze strony makoga http://markomp.net/readarticle.php?article_id=1 http://markomp.net/readarticle.php?article_id=2 |
|
| Autor: | viater [ wtorek, 22 sierpnia 2006, 16:42 ] |
| Tytuł: | |
No i tak ma być, po cholerę zaznaczasz opcję bezpiecznego uwierzytelniania hasła, skoro Cię nikt o to nie prosi, hę ? Jeżeli łączy się na porcie 465, to całe połączenie jest szyfrowane. |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|