sendmail+TLS+AUTH

FreeBSD-security

sendmail+TLS+AUTH

  • 5545 megtekintés

( cruiser | 2005. 02. 25., p – 19:49 )

helló!

jobb híjján ide írom a kérdéseket, mert freebsd-n, és mert titkosítás...

tulajdonképpen teljesen általános probléma:
juzereknek akarnám engedélyezni, hogy a szokott levelezőprogramjukkal (pl. otthonról) bejelentkezve levelet tudjanak küldeni a szerveren át. az összetevők:

sendmail+tls+sasl2-8.13.1
cyrus-sasl-2.1.19_1

mozillával, thunderbirddel minden tökéletesen megy.

1. probléma:
az mfos outlook 2003-nál korábbi változatokkal próbálkozva viszont sorban kapom a

"server sm-mta ... did not issue MAIL/EXPN/VRFY/ETRN during connection to MSA"

logokat, gyors egymás utánban többször. (az outl2003-mal viszont sikerül starttls után bejelentkezni (auth: LOGIN), és levelet továbbítani.) tapasztalta más is ezt? mi lenne a gyógyszer?

2. probléma:
eltekintve a régi outlooknál előjövő hibától, a starttls, auth megy. tudok levelet küldeni kifelé.
ha azonban az ezekhez szükséges sendmail+tls+sasl2-8.13.1-t futtatom, befelé semmilyen levél nem érkezik meg a szerverre, míg
a "sima" sendmailre rendben bejön minden. mindkét változat az 587-es portot figyeli. a kettő konfigurációja lényegében a titkosítás és az auth részben különbözik, tehát talán ezek miatt történik ez, de még nem találtam tippet, hogy mi is lehet az oka.
(most erős rtfm előérzetem támadt ;) tény, hogy a szerverek közötti viszonyt starttls ügyben még nem emésztettem meg.)

a különös az, hogy telnettel tudok csatlakozni és levelet küldeni a sendmail+tls+sasl2-8.13.1 változattal is, viszont ha más e-mail címről küldök be levelet, akkor az "connection refused" üzenettel jön vissza, és a szerveren egy árva log sem keletkezik bármiféle kapcsolatfelvételi kísérletről. mellékelem a sendmail+tls+sasl2-8.13.1 mc fájljának azt a részletét, ami eltér a sima konf-tól, bár a szokásos:

define(`confCACERT_PATH', `/etc/mail/certs/')
define(`confCACERT', `/etc/mail/certs/cacert.pem')
define(`confSERVER_CERT', `/etc/mail/certs/doménem-mail_cert.pem')
define(`confSERVER_KEY', `/etc/mail/certs/doménem-mail_key.pem')
define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_OPTIONS', `A p y')dnl
DAEMON_OPTIONS(`Name=NoMTA, Addr=127.0.0.1, M=EA')dnl

a cacert.pem és doménem-mail_cert.pem tanúsítványokat egyébként magam gyártottam.

ha valaki tud tippelni valamit, megköszönöm.

üdvözlet
blev

( Beanie | 2005. 02. 25., p – 20:02 )

Én ugyan nem sendmailt, hanem postfixet használok, de amikor beállítottam olvastam a régebbi outlook verziók efféle gondjairól, de ezekszerint az újak is szarok. Nekem csak a CRAM-MD5 meg a DIGEST-MD5 van engedélyezve, mert a SHA1 bugos, és tudom, hogy még így is nehéz törni, de nem használok bitztonságilag megkérdőjelezhető algoritmust. A Thunderbird nekem a CRAM-MD5-öt választja alapból és szépen működik.

( onyx v | 2005. 02. 25., p – 20:08 )

Az elsore ez lenne a tippem, remlik, hogy ezt az opciot outlookra csinaltak, de nem vagyok 100%ig biztos benne, megkeresni meg most nincs idom. Probald meg, hatha.

main.cf -be:
broken_sasl_auth_clients = yes

onyx

( Beanie | 2005. 02. 25., p – 20:20 )

Ja, van ilyen is a szar kliensekhez, de ha megnézed Ő sendmailt használ, ez meg postfixes cucc..

( onyx v | 2005. 02. 26., szo – 00:21 )

upsz, nem olvastam el rendesen, aszittem postfix. Bocs :)

( Dwokfur v | 2005. 02. 26., szo – 08:04 )

[quote:c465d96ed0="Beanie"]Én ugyan nem sendmailt, hanem postfixet használok, de amikor beállítottam olvastam a régebbi outlook verziók efféle gondjairól, de ezekszerint az újak is szarok. Nekem csak a CRAM-MD5 meg a DIGEST-MD5 van engedélyezve, mert a SHA1 bugos, és tudom, hogy még így is nehéz törni, de nem használok bitztonságilag megkérdőjelezhető algoritmust. A Thunderbird nekem a CRAM-MD5-öt választja alapból és szépen működik.

Az MD5 is bugos, de ez már az év eleje tájékán is ismert volt. De MD5-re má proof-of-concept kódot is gyártottak, ami két ugyanakkora, ugyanolyan hash-ű fájlt tud csinálni.

Felmerül a kérdés, hogy melyik hash a biztonságos? Ripe-MD160?

Másik, hogy ha TLS-t is van authentikációkor, akkor ha nem lehet törni a TLS-t, akkor tök mindegy, hogy PLAIN megy a password, vagy hash-elve.

Üdv,
Dw.

( Beanie | 2005. 02. 26., szo – 09:38 )

Hallottam, hogy az MD5 sem megbízható, de azt nem tudtam, hogy be is bizonyították. Cyrus-SASL meg ahogy tudom nem támogat RipeMD-160-at. És vajon a SHA másverziói? SHA256?

( Beanie | 2005. 02. 26., szo – 09:39 )

Mondjuk azt hiszem az sincs a SASL-ban.

( cruiser | 2005. 02. 26., szo – 12:39 )

A Thunderbird nekem a CRAM-MD5-öt választja alapból és szépen működik.
olvastam a régebbi outlook verziók efféle gondjairól, de ezekszerint az újak is szarok.

igen, Tbird-nél nálam is CRAM-MD5, működik szépen a dolog.
az outl2003-mal sikerül a bejelentkezés (LOGIN auth). ez az ofisz2003-ban van benne, úgyhogy ha valakinek ez nincs meg, egy jó érv lesz, hogy használjon Tbird-öt, ha levelezni akar...

Én ugyan nem sendmailt, hanem postfixet használok

úgy látom, a sendmailt ma már nemigen szeretik futtatni. persze voltak problémái és a felépítése is olyan, amilyen. de én elvagyok vele. csak azt tudnám, hogy a starttls és auth beüzemelése után miért nem jön be semmi? a mailekben visszajövő "connection refused" hibaüzenet nem akkor jön, ha nem is megy a cél mailszervere? dehát megy.