postfix ssl pec e aruba
Stefano L.
Sto cercando di configurare un postfix (2.5.5) per spedire avendo come
relayhost un server di posta certificata di aruba.
Tutto cio' che so e' che il server ascolta sulla porta 465 e
richiede una connessione crittografata SSL
Postfix non spedisce, la connessione va miseramente in timeout e
non riesco a capire perche'.
in main.cf ho messo:
# TLS parameters <-- Configurazione di default di debian Lenny
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# Server di Aruba
relayhost = smtps.pec.aruba.it:465
# Linee aggiunte
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options =
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_loglevel = 2
in /etc/postfix/sasl_passwd ho messo:
oppure ho provato con:
smtps.pec.aruba.it:465 encrypt
e in /etc/postfix/sasl_passwd ho messo:
smtps.pec.aruba.it utente:password
Quando provo a spedire un messaggio, ottengo (dai log)
Dec 17 09:28:37 hostname postfix/qmgr[4959]:
1519C9EB0: from=<xx...@yyyyy.it>, size=286, nrcpt=1 (queue active)
Dec 17 09:28:37 hostname postfix/smtp[4975]:
initializing the client-side TLS engine
Dec 17 09:28:37 hostname postfix/tlsmgr[4976]:
open smtp TLS cache btree:/var/lib/postfix/smtp_scache
Dec 17 09:28:37 hostname postfix/tlsmgr[4976]:
tlsmgr_cache_run_event: start TLS smtp session cache cleanup
Dec 17 09:33:47 hostname postfix/smtp[4975]:
1519C9EB0: to=<pi...@pluto.it>,relay=smtps.pec.aruba.it[62.149.152.91]:465,
delay=56766, delays=56455/0.25/310/0, dsn=4.4.2, status=deferred
(conversation with smtps.pec.aruba.it[62.149.152.91] timed out while
receiving the initial server greeting)
Se provo un:
telnet smtps.pec.aruba.it 465
Ottengo:
Trying 62.149.152.91...
Connected to 62.149.152.91.
Escape character is '^]'
e poi piu' nulla.
Dove sbaglio ?
--
Stefano L.
Skull
[...]
> Se provo un:
>
> telnet smtps.pec.aruba.it 465
>
> Ottengo:
>
> Trying 62.149.152.91...
> Connected to 62.149.152.91.
> Escape character is '^]'
>
> e poi piu' nulla.
>
> Dove sbaglio ?
465 è smtp over ssl, aka ssmtp. *Non* è SMTP (come sarebbe sulla 587).
E' roba deprecata da oltre 10 anni, che postfix supporta solo come
server (nel senso che può fungere da ssmtp server ma non da ssmtp client).
L'aspetto positivo è che essendo smtp over ssl -appunto- puoi provare
con un sapiente uso di tunneling attraverso stunnel o analogo.
--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/
Stefano L.
> 465 ᅵ smtp over ssl, aka ssmtp. *Non* ᅵ SMTP (come sarebbe sulla 587).
>
> E' roba deprecata da oltre 10 anni, che postfix supporta solo come
> server (nel senso che puᅵ fungere da ssmtp server ma non da ssmtp client).
>
> L'aspetto positivo ᅵ che essendo smtp over ssl -appunto- puoi provare
> con un sapiente uso di tunneling attraverso stunnel o analogo.
Ok, grazie per la dritta, ho configurato il tutto con stunnel e cosi'
funziona.
Ma considerando cio' che dici mi chiedo: Aruba usa questo sistema per un
motivo particolare o soltanto per allegria ?
--
Stefano L.
Skull
> Ok, grazie per la dritta, ho configurato il tutto con stunnel e cosi'
> funziona.
>
> Ma considerando cio' che dici mi chiedo: Aruba usa questo sistema per un
> motivo particolare o soltanto per allegria ?
Non ne ho la più pallida idea: domandalo a loro ;-)
Di installazioni con ssmtp se ne vedono ancora, in giro (es: gmail) ma
di norma sono *affiancate* a submission e presenti solo per fornire una
qualche retrocompatibilità con qualche fantomatico software che supporti
solo quello come unica modalità di SMTP encrypted...
Non che mi sia mai capitato di incontrarne uno...
Se Aruba apre solamente ssmtp lo ha scelto espressamente, ma l'unica
ragione tecnica che ci vedo è sostanzialmente l'ignoranza....
writethem
> Se Aruba apre solamente ssmtp lo ha scelto espressamente, ma l'unica
...eppure non ᅵ proprio "la salumeria Aruba con servizi IT". spero ci
sia un altro motivo...
bio
>
> ...eppure non è proprio "la salumeria Aruba con servizi IT". spero ci
> sia un altro motivo...
Aruba ha, a lungo, usato dei certificati scaduti per IMAPS e SSMTP... ha reso
finalmente disponibile la webmail su https solo da un paio di settimane... ma
solo se usi esplicitamente l'url https, e solo con l'interfacia piu' recente,
le altre sono ancora accessibili soltanto in chiaro... e, bada bene, trattasi
di webmail con credenziali passate in chiaro nell'url (GET)...
Non mi sembra che usare ancora solo ssmtp sia il peggiore dei mali.
Fabio
Matteo "bdm" Cisilino
e non solo .
Per chi avesse un account partner con aruba , provate a loggarvi, poi
una bella scorsa all'hostori noterete una bella _GET con user e pass
in chiaro . Sto parlando del reseller , quindi sai che figata ? un bel
conto prepagato prosciugarsi solo per dispetto ?
Ora finchè è una webmail mi sta pure bene , ma una cosa che contiene
dati in chiaro con documenti di identità e quant'altro mi rompe pure
le balle . Attenzione per fornire prodotti PEC bisogna avere una
certitificazione iso di qualche tipo , quando ti certificano ti
contano pure i peli del culo , possibile che ste cose non siano state
viste ? le PEC vengono vendute come Aruba PEC mentre il resto come
aruba spa .
Crononauta
> Ora finchè è una webmail mi sta pure bene , ma una cosa che contiene
> dati in chiaro con documenti di identità e quant'altro mi rompe pure
> le balle . Attenzione per fornire prodotti PEC bisogna avere una
> certitificazione iso di qualche tipo , quando ti certificano ti
> contano pure i peli del culo , possibile che ste cose non siano state
> viste ? le PEC vengono vendute come Aruba PEC mentre il resto come
> aruba spa .
Hai una vaga idea di come funzionano le certificazioni in Italia, o ti fidi
del come *dovrebbero* essere in teoria? :-/
--
Massimo Bacilieri AKA Crononauta
Skype: crononauta <massimo....@gmail.com>
Facebook: Massimo Bacilieri
Matteo "bdm" Cisilino
> > dati in chiaro con documenti di identit e quant'altro mi rompe pure
> > le balle . Attenzione per fornire prodotti PEC bisogna avere una
> > certitificazione iso di qualche tipo , quando ti certificano ti
> > contano pure i peli del culo , possibile che ste cose non siano state
> > viste ? le PEC vengono vendute come Aruba PEC mentre il resto come
> > aruba spa .
>
> Hai una vaga idea di come funzionano le certificazioni in Italia, o ti fidi
> del come *dovrebbero* essere in teoria? :-/
>
> --
> Massimo Bacilieri AKA Crononauta
> Facebook: Massimo Bacilieri
so come dovrebbero essere :)
ed immagino come sono .
eUUiUa la repubblica dei bunga bunga banani :)
writethem
>> Hai una vaga idea di come funzionano le certificazioni in Italia, o ti fidi
>> del come *dovrebbero* essere in teoria? :-/
> so come dovrebbero essere :)
> ed immagino come sono .
> eUUiUa la repubblica dei bunga bunga banani :)
non sono d'accordo. noi come azienda siamo iso9000 e vi assicuro che ti
contano pure i peli. e quando c'è il controllo iso non si va a casuccia
prima delle 23,00 per tutta la settimana antecedente.
non so se ci sono iso che regalano le certificazioni, ma la nostra (non
faccio nomi) di sicuro no.
però dubito che l'iso controlli dettagli tecnici con una tale
profondità. più che altro si valutano i tempi di risposta, la
soddisfazione del cliente, la gestione delle commesse ed una miriade di
altre cose, ma dubito semplicemente che ci si spinga così addentro
tecnicamente.
Crononauta
> non sono d'accordo. noi come azienda siamo iso9000 e vi assicuro che ti
> contano pure i peli. e quando c'è il controllo iso non si va a casuccia
> prima delle 23,00 per tutta la settimana antecedente.
>
> non so se ci sono iso che regalano le certificazioni, ma la nostra (non
> faccio nomi) di sicuro no.
L'ISO - stando a quanto mi racconta il mio responsabile per la sicurezza
e le certificazioni (avvilito) - non certifica che la tua azienda lavora
bene.
L'ISO certifica che un'azienda ha delle *procedure* che rispettano certi
parametri. Il che è solo burocrazia, perché puoi avere le procedure
migliori del mondo, ma se poi le applichi a buco di culo, lavorerai di
merda. E produrrai merda certificata ISO-9000: sarà migliore della merda
"comune"? :-/
...ed è meglio se mi fermo qua.
--
Massimo Bacilieri AKA Crononauta
Skype: crononauta <massimo....@gmail.com>
Facebook: Massimo Bacilieri
writethem
> L'ISO certifica che un'azienda ha delle *procedure* che rispettano certi
> parametri. Il che è solo burocrazia, perché puoi avere le procedure
> migliori del mondo, ma se poi le applichi a buco di culo, lavorerai di
> merda. E produrrai merda certificata ISO-9000: sarà migliore della merda
> "comune"? :-/
premesso che il responsabile della sicurezza è una cosa ed il
responsabile della qualità è un'altra (probabilmente da te coincidono
con la stessa figura), ci sono innumerevoli ISO che certificano
innumerevoli settori di applicazione.
nell'ISO 9001:2008 si certifica come l'azienda gestisce le commesse ed i
clienti. procedure, tempi di consegna, documentazione rilasciata,
rispetto delle normative, etc.
Ovvio, non può certificare che il tecnico Pippo sia stato bravo nel
tirare su' il cluster al cliente Pluto, però attenzione, ci sono delle
caratteristiche da non sottovalutare:
- il cliente Pluto fa un questionario anonimo a fine anno in cui
manifesta la sua soffisfazione. Queste statistiche contribuiscono
(almeno nelle ISO serie) a rilasciare o meno la certificazione.
- Il cliente può farti una non conformità ISO in caso di problemi, e
pesa a fine anno
- La tempistica di esecuzione lavori è estremamente salvaguardata,
lavori eseguiti in ritardo (o interventi tecnici con tempi di risposta
troppo elevati) contribuiscono ad accrescere le non conformità.
Ora, mi fermo qui perchè non voglio essere OT, però penso dipenda molto
da chi ti certifica. Qui da noi si accorgono di tutto ed il responsabile
della qualità sbraita senza troppi problemi. :)
roberto
-cut-
> nell'ISO 9001:2008 si certifica come l'azienda gestisce le commesse ed i
> clienti. procedure, tempi di consegna, documentazione rilasciata,
> rispetto delle normative, etc.
Si certifica che SA come gestire.
>
> Ovvio, non può certificare che il tecnico Pippo sia stato bravo nel
> tirare su' il cluster al cliente Pluto, però attenzione, ci sono delle
> caratteristiche da non sottovalutare:
> - il cliente Pluto fa un questionario anonimo a fine anno in cui
> manifesta la sua soffisfazione. Queste statistiche contribuiscono
> (almeno nelle ISO serie) a rilasciare o meno la certificazione.
No.
> - Il cliente può farti una non conformità ISO in caso di problemi, e
> pesa a fine anno
No, pesa se non hai preso atto della contestazione e se non hai fatto
niente in merito.
Le non conformità trattate non pesano nulla.
> - La tempistica di esecuzione lavori è estremamente salvaguardata,
> lavori eseguiti in ritardo (o interventi tecnici con tempi di risposta
> troppo elevati) contribuiscono ad accrescere le non conformità.
Eh?
E comunque, il concetto è sempre quello: si certifica che se sbagli,
sai di sbagliare e sai come e dove, non si certifica che non sbagli.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi rpo...@softhome.net
writethem
> No.
>
> No,
>
> Eh?
va bene ragazzi, per 10 anni allora ho sbagliato lavoro.
la colpa purtroppo è di queste iso che rilasciano a cani e porci
certificazioni solo in cambio di denaro. le iso serie (leggasi severe)
sono poche.
ti assicuro che le non conformità sono gravi ed in moltissimi casi
contribuiscono al non rinnovo della certificazione, nelle iso serie.
nelle iso alla CDC (pene di cane) non contano nulla, tanto l'importante
è che la fattura dell'ente certificatore venga saldata.
se l'iso 9000 non serve a salvaguardare come tratti il cliente, i tempi
di posa in opera, la gestione delle pratiche... scusate... cosa
salvaguardia?
probabilmente abbiamo esperienze diverse, con enti certificatori diversi
(immagino anche con iso diverse, mi auguro).
ma ora, in tutta onestà, stiamo andando un po' troppo OT.
roberto
-cut-
>
> se l'iso 9000 non serve a salvaguardare come tratti il cliente, i tempi
> di posa in opera, la gestione delle pratiche... scusate... cosa
> salvaguardia?
Dici a parte il reddito di certificatori e consulenti? ;-)
Il fatto che tu sai quello che stai facendo.
E che sei al corrente che stai lavorando male.
E che sei tenuto a prendere provvedimenti.
Ma i provvedimenti non è detto che siano immediatamente
attivabili, e/o che risolvano veramente il problema.
Triste, ma è così, specialmente nelle certificazioni di processo.
In quelle di prodotto è un filino meglio, ma l'assioma:
azienda certificata = prodotto di qualità
non è sempre vero.
bio
Vero, se parli delle non conformita' rilevate dell'ente dertificatore in
fase di auditing (non conformita' del sistema a fronte della normativa).
Le non conformita' che vengono rilevate dal soggetto certificato durante
i normali processi non sono gravi, se trattate correttamente.
> nelle iso alla CDC (pene di cane) non contano nulla, tanto l'importante
> ᅵ che la fattura dell'ente certificatore venga saldata.
>
> se l'iso 9000 non serve a salvaguardare come tratti il cliente, i tempi
> di posa in opera, la gestione delle pratiche... scusate... cosa
> salvaguardia?
La certificazione, in soldoni, assicura che tu rispetti le specifiche, e
che quando questo non accade tu intervenga per migliorare i processi. Ma
se le specifiche fan schifo, nulla puo' una certificazione di processo.
Fabio