Portál AbcLinuxu, 8. listopadu 2025 19:37


Dotaz: Postfix smtp tls CA soubory

14.10.2010 02:11 pocatek
Postfix smtp tls CA soubory
Přečteno: 400×
Odpovědět | Admin
Ahoj, mám v postfixu zprovozněné tls i pro smtp, ale myslím že postfix nekontroluje (ani nemá jak) certifikáty protistrany jestli jsou podepsány důvěrnou CA. Jak se dá toto v postfixu zapnout? Pomůže direktiva smtpd_tls_CAfile, která by měla být jen pro smtpd nebo jaká? Jde o to že mu někam musím podstrčit certifikáty CA.
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Heřmi avatar 14.10.2010 09:06 Heřmi | skóre: 10
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ty chces overovat jen pomoci ceritfikátu? + treba SASL?
14.10.2010 10:12 pocatek
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
To ne, to by se zase nic nedoručilo :-) Příklad: server A se snaží komunikovat se serverem B pomocí TLS, jenže server B nemá certifikát podepsaný certifikační autoritou, no co se dá dělat, postfix to stejně nemá kam jinam odeslat tak to odešle i přes nedůvěryhodný certifikát ale zapíše to do logu. V případě že protistrana nepošle STARTTLS, tak se to pošle nešifrovaně. S tou kontrolou pravosti certifikátů a záznamem v logu nevím jak to udělat to ostatní je víceméně skoro defaultní chování.
Heřmi avatar 14.10.2010 10:35 Heřmi | skóre: 10
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
ja mam doma knizku o postfixu, tak jsem si prave rikal, ze to je blbost to ze to bude jenom s certem, z hlavy nevim jak se to delalo, az dojdu domu naskenuju nafotim dam na FTP, event. 
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtpd_tls_cert_file = /etc/postfix/smtpd.cert'
postconf -e 'smtpd_tls_key_file = /etc/postfix/smtpd.key'
Heřmi avatar 14.10.2010 10:38 Heřmi | skóre: 10
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
jeste doplnim o vytvoreni certu 
cd /etc/postfix
openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509
cas bych si dal asi vetsi treba 10 let
Heřmi avatar 14.10.2010 10:43 Heřmi | skóre: 10
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory 
chmod o= /etc/postfix/smtpd.key
jeste prava ted jsem to zkousel a jede to ;) akorat se nechtelo outlooku prve
15.10.2010 09:10 pocatek
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
No jo, ale mě zajímá postfix jako smtp klient ne smtpD server. Oboje mi už sice nějakou dobu jede, ale jde mi o důvěryhodnost protistrany. Ta musí být zajištěna tak, že smtpd protistrany předhodí certifikát (což mám realizované), ale smtp klient (postfix) ho musí nějak ověřit, zda je pravý a na to potřebuje certifikáty certifikačních autorit.
Heřmi avatar 15.10.2010 09:50 Heřmi | skóre: 10
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
K cemu to teda chces???? zdali jen pro vynuceni sifrovaneho prenosu posty, nebo k overeni protistrany ... ???
Heřmi avatar 15.10.2010 09:57 Heřmi | skóre: 10
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
no jinak uroven bezpecnosti lez nastavit direktivou 
smtp_tls_security_level
17.10.2010 20:08 pocatek
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
K ověření protistrany. Pokud postfix dostane od protistrany STARTTLS, tak bych rád ověřil, že protistrana má platný certifikát, jinak by se mohlo jednat o MITM.
Petr Kočvara avatar 15.10.2010 11:18 Petr Kočvara | skóre: 16 | Frýdek-Místek
Rozbalit Rozbalit vše Re: Postfix smtp tls CA soubory
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ahoj, pro smtp službu existuje v postfixu direktiva smtp_tls_CAfile popřípadě smtp_tls_CApath kam se píše cesta k adresáři ve kterém soubory s certifikáty jednotlivých CA.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.