Freesco, NND, CDN, EOS

Witam wszystkich mam takie pytanko odnosnie certyfikatow w eximie.
Zainstalowalem certyfikat wedlug opisu na stronie :http://www.markomp.net/ wszystko poszlo pieknie bez zadnych problemow, z tym ze zastanawia mnie jedna rzecz, otoz jesli wylacze w kliencie poczty logowanie przez ssl i opcje serwer wymaga uwierzytelnienia to i tak moge deostac sie do poczty wysylac i odbierac maile - czyli niezaleznie od tego czy te opcje sa wlaczone czy tez nie to bez problemow moge wykonywac wszelkie operacje na swoim koncie. Czy tak ma byc? Nie bardzo sie znam na tym ale wydaje mi sie ze nie. Moze cos trzeba ustawic w samym eximie. Bardzo prosze kolegow o rade

Jeżeli wysyłasz z sieci lokalnej i w exim.conf masz linijkę:

hostlist relay_from_hosts = 127.0.0.1 : 192.168.0/24

- to normalne.

Jeżeli chcesz wymusić korzystanie z bezpiecznego połączenia nawet w sieci lokalnej - wyrzuć adres/maskę sieci, czyli zostaw tylko "localhosta":

hostlist relay_from_hosts = 127.0.0.1

_________________
F33/F07,F11,F13,F17

heheh to jeszcze ktos to czyta:)

Dla sprawdzenia skasowalem maske i ip sieci wewnetrznej ale to nic nie pomoglo dalej jest tak samo jak bylo



- bardzo fajnie i przystepnie napisany artykul

z lanu byc moze tak, ale z zewnatrz to juz napewno sie tak nieda.

ok - dzieki jutro sprawdze

Niemożliwe - exima restartowałeś po zmianie ?

_________________
F33/F07,F11,F13,F17

Coś mi w tych wyjaśnieniach nie pasuje.
Otóż o ile można zablokować użytkownikom używanie POP3 blokując port 110, o tyle niestety nie można wymusić na użytkownikach używania wyłącznie SMTPS (port 465), ponieważ port 25 musi być dostępny dla innych serwerów, z którymi nasz będzie wymieniał pocztę.
Zatem niezależnie od wpisów w konfiguracji klient zawsze będzie mógł korzystać z SMTP. Jeśli jest mało ostrożny, to wybierze tę opcję. Gdy dostaje net przez radio, to może się kiedyś naciąć. Po co jest klucz i certyfikat? Nie tylko żeby chronić klienta, ale służy także do komunikacji między serwerami pocztowymi (TLS).
Jeśli w nagłówku poczty znajdziecie wpis podobny do tego - by xxx.pl with esmtps (SMTP) (tls_cipher TLSv1:DES-CBC3-SHA:168) - to znaczy, że serwery używały TLS. Obecnie chyba już innych zresztą nie ma.

_________________
Belfer.one.PL
Audio Cafe

W takim razie wyjaśnij mi Maćku, dlaczego przy próbie wysłania przez port 25 (na adres odbiorcy "zewnętrzny" - czyli którego część domenowa nie należy do local_domains) mój klient pocztowy dostaje komunikat:
"550 Authentication PLAIN or LOGIN" ??

Opcja "serwer wymaga uwierzytelnienia" jast zaznaczona.

Oczywiście w konfigu mam:
hostlist relay_from_hosts = 127.0.0.1

Wg mnie to jest tak:

acl_check_auth:

accept encrypted = *
deny message = STARTTLS required before AUTH

Czyli żeby się autentykować, musisz korzystać z bezpiecznego połączenia, CHYBA, że wysyłasz z hosta, który jest na liście relay_from_hosts

Nie wiem tylko, dlaczego wiadomość nie jest od razu odrzucana w acl_check_auth, tylko później, w acl_check_rcpt - stąd mylący komunikat.

_________________
F33/F07,F11,F13,F17

a ja skasowałem zakres sieci wew. z relay_from_hosts a i tak pogę dostać sie na konto bez uwierzytelniania i ssl (exima restartowałem)

co nalezy zrobić aby exim obslugiwal bezpieczne uwierzytelnanie hasla?

Jedno pytanie: wysyłasz NA konto "zewnętrzne" czy w jednej z twoich domen lokalnych (mam na myśli adres odbiorcy) ?

W domyślej konfiguracji obsługuje bez problemu. Skonfigurować klienta pocztowego, żeby używał bezpiecznego połączenia na porcie 465.

_________________
F33/F07,F11,F13,F17

Odpowiem zbiorczo.

Ten komunikat zawsze jest wówczas, gdy z jakiegoś powodu zawodzi mechanizm autentykacji. Błąd jest z reguły po stronie klienta poczty. Uważam, że przestawiając sposób wysyłania w kliencie, popełniasz jakiś błąd.

To z kolei wymusza korzystanie z TLS ze wszystkimi serwerami. Ten sam wpis mam w eximie 3.36 na Freesco a w nim na pewno nie ma SSL.

Brednie! Używam dwóch kont pocztowych na eximie i z reguły loguję się na nie z zewnątrz, z bardzo różnych lokalizacji, których nie mam w relay_from... i zawsze mi to działa, mało tego administruję tymi serwerami, więc ustawiam ludziom ich programy, jeśli używają OE, to daję sobie spokój z SSL, bo to wymaga zapisania certyfikatu na dysku klienta, a mimo to poczta działa z dowolnej lokalizacji.

To znaczy że coś w konfigu skopałeś. Polecaną procedurą jest dokonanie wyłącznie niezb ędnych zmian (wpisanie swojej domeny) - nie rób niczego, czego nie rozumiesz.
Domyślny konfig exima obejmuje wszelkie znane nam zabezpieczenia, i w zasadzie exim jest najlepiej przetestowanym programmem w NND.

_________________
Belfer.one.PL
Audio Cafe

Maciek, może wysyłasz na konta lokalne ?
W takim przypadku u mnie też działa, w przeciwnym razie napewno u mnie Exim nie przyjmie żadnej wiadomości z adresem docelowym spoza jego lokalnych domen, jeżeli klient się nie autoryzuje.

_________________
F33/F07,F11,F13,F17

Konfiguracje przeprowadzilem za pomoca konfiguratora z nndconf - a mimo tego jak wlacze w kliencie poczty bezpieczne uwierzytelnianie hasla to wywala mi komunikat: serwer nie obsluguje bezpiecznego uwierzytelnania hasla - jak odznacze to wszystko jest ok

Jeszcze a'propos tego:

Śmiem nie do końca się z tym zgodzić
Przecież to nie dotyczy tylko serwerów, lecz dowolnego połączenia SMTP (także MUA a jakby się kto uparł to telnetem pewnie też) i nie pozwala na autoryzację, jeżeli połączenie nie jest szyfrowane. Tak więc jeżeli klient (MUA) chce się autoryzować, musi to zrobić w szyfrowanym połączeniu (TLS albo SSL). Z kolei żeby w ogóle coś wysłać (na adres spoza domen lokalnych) MUSI się autoryzować (to wynika z innych części konfigu) - więc jakim cudem u licha OE wysyła Ci maile na nieszyfrowanym połączeniu !?

_________________
F33/F07,F11,F13,F17

Mrus - z jakiego klienta poczty korzystasz i jak go konfigurujesz ?

_________________
F33/F07,F11,F13,F17

http://www.markomp.net/nnd/exim/exim.conf
sciagnij sobie ten config pozmioeniaj tylko wpisy markomp.net na swoja domene (zmiany w czterech miejscach), nic wiecej w nim nie zmieniaj i sprawdz.

outlook express, konfiguruje go wedlug opisu ze strony makoga

http://markomp.net/readarticle.php?article_id=1

http://markomp.net/readarticle.php?article_id=2

No i tak ma być, po cholerę zaznaczasz opcję bezpiecznego uwierzytelniania hasła, skoro Cię nikt o to nie prosi, hę ?
Jeżeli łączy się na porcie 465, to całe połączenie jest szyfrowane.

_________________
F33/F07,F11,F13,F17