Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

postfix ssl

0 views
Skip to first unread message

Salamon Attila

unread,
Nov 18, 2009, 3:29:41 AM11/18/09
to

Sziasztok!

Ha jól látom, akkor a postfix csak TLS -t támogat. Viszont szeretnék 465
-ös portos SSL -es lehetőséget is, mert már szinte minden szolgáltató
csak a saját smtp -jéhez enged csatlakozni, kifelé nem, ami jó is.
Viszont sok ügyfelünk járkál össze-vissza a laptopjával és szintén
jogosan nem szeretik állítgatni az smtp beállításaikat. Mivel 465 -öt
nem szűrik és a titkolódzás is jó a felh. név / jelszó miatt, ez egy jó
megoldásnak látszik.

Stunnel erre jó is lenne, de ha ezen keresztül csatlakozik egy kliens,
akkor a postfix azt látja, hogy minden esetben a helyi gépről jön a
kapcsolat, így simán open relay a gép. Van erre megoldás? Mynetworks
-ből vegyem ki a 127.0.0.0/8 -at? Vagy figyeltessem mondjuk 2525 -ös
porton is a postfixet? Ezt hogy lehete megoldani? És azt, hogy a 2525
-ön csak starttls után legyen hajlandó levelet fogadni?

köszi,
üdv,
Salamon Attila

_________________________________________________
linux lista - li...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Gabor Gombas

unread,
Nov 18, 2009, 3:53:30 AM11/18/09
to

On Wed, Nov 18, 2009 at 09:29:41AM +0100, Salamon Attila wrote:

> Ha jól látom, akkor a postfix csak TLS -t támogat. Viszont szeretnék 465
> -ös portos SSL -es lehetőséget is, mert már szinte minden szolgáltató
> csak a saját smtp -jéhez enged csatlakozni, kifelé nem, ami jó is.
> Viszont sok ügyfelünk járkál össze-vissza a laptopjával és szintén
> jogosan nem szeretik állítgatni az smtp beállításaikat. Mivel 465 -öt
> nem szűrik és a titkolódzás is jó a felh. név / jelszó miatt, ez egy jó
> megoldásnak látszik.
>
> Stunnel erre jó is lenne, de ha ezen keresztül csatlakozik egy kliens,
> akkor a postfix azt látja, hogy minden esetben a helyi gépről jön a
> kapcsolat, így simán open relay a gép. Van erre megoldás? Mynetworks
> -ből vegyem ki a 127.0.0.0/8 -at? Vagy figyeltessem mondjuk 2525 -ös
> porton is a postfixet? Ezt hogy lehete megoldani?

RTFM: /usr/share/doc/postfix/TLS_README.gz. Meg pelda is van.

> És azt, hogy a 2525-ön csak starttls után legyen hajlandó levelet fogadni?

Ha nem authentikalsz, akkor a STARTTLS-nek nem sok ertelme van. Tehat
nem a STARTTLS-t, hanem az authentikaciot kell megkovetelni. Jelszavas
authentikaciot meg ugye ugysem engedsz kodolatlanul, tehat impliciten
megis megkoveteled a STARTTLS-t (hacsak nem tamogatsz valamilyen
fejlettebb SASL metodust).

Gabor

--
---------------------------------------------------------
MTA SZTAKI Computer and Automation Research Institute
Hungarian Academy of Sciences
---------------------------------------------------------

Szládovics Péter

unread,
Nov 18, 2009, 4:22:18 AM11/18/09
to
Salamon Attila írta:

> Sziasztok!
>
> Ha jól látom, akkor a postfix csak TLS -t támogat. Viszont szeretnék 465
> -ös portos SSL -es lehetőséget is, mert már szinte minden szolgáltató
> csak a saját smtp -jéhez enged csatlakozni, kifelé nem, ami jó is.
> Viszont sok ügyfelünk járkál össze-vissza a laptopjával és szintén
> jogosan nem szeretik állítgatni az smtp beállításaikat. Mivel 465 -öt
> nem szűrik és a titkolódzás is jó a felh. név / jelszó miatt, ez egy jó
> megoldásnak látszik.

Akkor do it. Semmi baja a postfixnek az smtp ssl-lel, lehet hogy jól
nézted, de roszul láttad. A megldás a master.cf-ben van:

smtps inet n - n - - smtpd -o
smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

Ez elől szedd le a kommentet, de vgyázz, hogy a chroot beállítás jó
legyen (disztrófüggő a dolog). A többi beállítás (main.cf) ugyanaz
legyen, mint a TLS.

> Stunnel erre jó is lenne, de ha ezen keresztül csatlakozik egy kliens,
> akkor a postfix azt látja, hogy minden esetben a helyi gépről jön a
> kapcsolat, így simán open relay a gép. Van erre megoldás? Mynetworks
> -ből vegyem ki a 127.0.0.0/8 -at? Vagy figyeltessem mondjuk 2525 -ös
> porton is a postfixet? Ezt hogy lehete megoldani? És azt, hogy a 2525
> -ön csak starttls után legyen hajlandó levelet fogadni?

Ezt a részt ignorálhatod bátran.

Salamon Attila

unread,
Nov 18, 2009, 8:55:00 AM11/18/09
to
Hello!

Szládovics Péter írta:


> Akkor do it. Semmi baja a postfixnek az smtp ssl-lel, lehet hogy jól
> nézted, de roszul láttad. A megldás a master.cf-ben van:
>
> smtps inet n - n - - smtpd -o
> smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
>

Ej, mekkora surmó voltam. Persze ebben is ott van:
/usr/share/doc/postfix/TLS_README.gz, meg itt is:
http://www.postfix.org/TLS_README.html, meg még ki tudja hol. Rendesen
elnéztem.
Köszi mégegyszer, üdv,
SA.

0 new messages