|
|
#1
01.10.2018, 19:04
|
|||
|
|||
postfix + TLS
Dmitry Dolzenko написал(а) к All в Oct 18 17:36:33 по местному времени:
From: Dmitry Dolzenko <dol@mig.phys.msu.ru> Привет! Разбираюсь как прикрутить TLS к postfix 3.3 Добавил в main.conf ------ smtpdtls_certfile = /usr/local/etc/letsencrypt/.../fullchain.pem smtpdtls_keyfile = /usr/local/etc/letsencrypt/live/.../privkey.pem smtpdusetls = yes smtpdtls_authonly = yes smtpdtls_securitylevel = may smtpdtlsloglevel = 2 smtptls_securitylevel = may smtptlsloglevel = 2 ------ Результат - получил статус "Шифрование - да" в yandex и gmail в сообщениях с моего хоста. Но смущает - по мануалу от postfix - не установил smtptls_certfile = и smtptls_keyfile (для smtp а не smtpd) в мануале не рекомендуется это делать. Непонятно, как устанавливается TLS hanshake без сертификата. Смущает еще в логах - "Untrusted TLS connection" что то подсказывает, что он должен быть "Trusted" Oct 1 17:17:19 n....m postfix/smtp[15950]: Untrusted TLS connection established to mx.yandex.ru[213.180.193.89]:25: TLSv1.2 with cipher ECDНE-RSA-AES128-GCM-SНA256 (128/128 bits) Рад буду услышать комменты. /D --- ifmail v.2.15dev5.4 
|
|
#2
01.10.2018, 22:32
|
|||
|
|||
|
Re: postfix + TLS
Alex Korchmar написал(а) к Dmitry Dolzenko в Oct 18 21:14:39 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote: > Разбираюсь как прикрутить TLS к postfix 3.3 > Добавил в main.conf во-первых, зачем тебе понадобилось летсшиткриптовское дерьмо для почты? Она у нас пока еще гвоздем к единственно-верным авторити не прибита, вполне можно и нужно использовать self-signed сертификаты с нормальным сроком валидности, а не автообновляемые раз в две недели. > Но смущает - по мануалу от postfix - не установил smtptls_certfile = > и smtptls_keyfile > (для smtp а не smtpd) в мануале не рекомендуется это делать. Непонятно, > как устанавливается TLS hanshake без сертификата. у тебя, когда ты лезешь на https://google.com, спрашивают какой-то сертификат? Вот так и устанавливается - сертификат предъявляет сервер. > Смущает еще в логах - "Untrusted TLS connection" что то подсказывает, > что он должен быть "Trusted" для этого тебе понадобится связать поцфикс с CA-store или вручную собирать fingerprint'ы всех серверов с которыми ты имеешь дело (а они будут меняться, ибо не ты один дурак с летсшиткриптой) > Alex --- ifmail v.2.15dev5.4
|
|
#3
02.10.2018, 12:32
|
|||
|
|||
|
Re: postfix + TLS
Dmitry Dolzenko написал(а) к Alex Korchmar в Oct 18 11:06:32 по местному времени:
From: Dmitry Dolzenko <dol@mig.phys.msu.ru> 01.10.2018 21:14, Alex Korchmar пишет: > Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote: > > >> Разбираюсь как прикрутить TLS к postfix 3.3 >> Добавил в main.conf > во-первых, зачем тебе понадобилось летсшиткриптовское дерьмо для почты? > Она у нас пока еще гвоздем к единственно-верным авторити не прибита, > вполне можно и нужно использовать self-signed сертификаты с нормальным > сроком валидности, а не автообновляемые раз в две недели. А что за проблем с привязкой к CA, можно поподробней? >> Но смущает - по мануалу от postfix - не установил smtptls_certfile = >> и smtptls_keyfile >> (для smtp а не smtpd) в мануале не рекомендуется это делать. Непонятно, >> как устанавливается TLS hanshake без сертификата. > у тебя, когда ты лезешь на https://google.com, спрашивают какой-то сертификат? > Вот так и устанавливается - сертификат предъявляет сервер. Ясно. Пример отличный. >> Смущает еще в логах - "Untrusted TLS connection" что то подсказывает, >> что он должен быть "Trusted" > для этого тебе понадобится связать поцфикс с CA-store или вручную собирать > fingerprint'ы всех серверов с которыми ты имеешь дело (а они будут меняться, > ибо не ты один дурак с летсшиткриптой) А с CA store сильно сложно связать? Наверное порт с корневыми сертификатами скачать, и указать в конфиге postfix? --- ifmail v.2.15dev5.4
|
|
#4
02.10.2018, 23:00
|
|||
|
|||
|
Re: postfix + TLS
Alex Korchmar написал(а) к Dmitry Dolzenko в Oct 18 21:27:49 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote: > > вполне можно и нужно использовать self-signed сертификаты с нормальным > > сроком валидности, а не автообновляемые раз в две недели. > А что за проблем с привязкой к CA, можно поподробней? повторяю для тугослышащих: нет CA, нет проблемы. В smtp нет требования "чтобы CA был тебе знаком, иначе вместо почты ты получаешь большое-красное-окно-полное-неведомой-ебанины с кнопками "срочно котиков" и "пожаловаться в гугль" (кнопки "продолжить" не предусмотрено)", как, трудами гугля и его шестерок, сделали с https. > А с CA store сильно сложно связать? Наверное порт с корневыми > сертификатами скачать, и указать в конфиге postfix? несильно, но бесполезно - как в общественно-политическом плане (кто сегодня верит в честность CA?) так и в чисто техническом - все кроме гугляндекса, которые могли бы и вообще не шифровать, все равно эта переписка слита неограниченному кругу лиц, преспокойно используют self-signed, а кто и не использует - никакого "sni" в smtp не предусмотрено, поэтому чей они там тебе сертификат покажут - аллаху ведомо. смысл имеет только ограниченный набор фингерпринтов действительно доверенных сертификатов - например, с подконтрольных тебе же серверов. ну и помнить, что email двадцать лет как позволяет end2end шифрование, совершенно не нуждающееся в серверной поддержке. > Alex --- ifmail v.2.15dev5.4
|
Линейный вид
