Martin Bubik wrote:
> zdravim,
> prosim o radu ohledne mail serveru.
> podarilo se mi rozchodit mailserver zalozeny na Postfixu s Dovecotem.
[...]
ma to ale jednu vadu na krase, tohle mi nefunguje u odesilani posty.
> SMTP server musi odeslat jmeno a heslo aby byla zprava predana do cizi domeny
> coz taky funguje, ale zde uz nemohu pouzit zabezpecene spojeni TLS,
> Thunderbird mi zahlasi ze spojeni se nezdarilo jelikoz nenabizi STARTTLS v
> odpovedi EHLO.
> Takze jsem nucen pouzivat smtp server bez sifrovani, cili je mi nejspis uplne
> k nicemu ze imap je zasifrovany pres TLS kdyz pri odesilani mailu se prenasi
> jmeno a heslo k emailu nezasifrovane - rozumim tomu dobre?
>
> V tech SSL, TLS a SASLech uz mam celkem gulas a uz ani poradne nevim co je
> co, nejsem si tim jisty, ale tusim ze problem bude asi v tom, ze ja jsem to
> TLS rozchodil asi jenom v dovecotu a ne v postfixu kde mam, co se tyce
> sifrovani, jenom tohle:
[...]
> takze tusim ze problem je v tom, ze to TLS (nebo sasl ja uz nevim) funguje
> jen v dovecotu, ktery se stara o imap a pop3 ale neobsluhuje uz smtp pro
> odesilani posty je to tak?
Pokud funguje overovani loginu a hesla pro SMTP, tak o to se stara SASL,
ale k tomu sifrovani je jeste potreba nakonfigurovat TLS v konfiguraci
postfixu - main.conf, co je v dovecot.conf se toho v podstate netyka.
Netvrdim, ze vse nize uvedene je nezbytne, ale ja neco takoveho obvykle
pouzivam.
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname
# tls config
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_use_tls = yes
smtpd_tls_key_file = /usr/local/etc/ssl_cert/some.example.com.key
smtpd_tls_cert_file = /usr/local/etc/ssl_cert/some.example.com.crt
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
# require that clients use TLS encryption
smtpd_tls_auth_only = yes
Opominu-li cesty k certifikatum, tak pro ten prijem posty se sifrovanym
uverenim loginu a hesla je stezejni hlavne toto:
smtpd_tls_auth_only = yes
A jak ted koukam do manualu, tak nektere mnou vyse uvedene direktivy
jsou oznaceny za zastarale, takze by "stacilo" uvest:
smtpd_tls_security_level = encrypt
Vice informaci poskytne man postconf(5)
Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
