Sziasztok!
Van valami fogalmatok arról, hogyan lehetne rávenni az exim4-et, hogy authentikációt csak TSL-en fogadjon?
Igazából nem is nagyon értem ezt az authentikációt, de mindegy.
Az exim3-nak volt olyan, hogy hosts_require_tls, de az már úgy látom megszünt. De ez amúgy sem hinném, hogy jó lenne nekem, hiszen így nem tudnék levelet fogadni más MTA-tól.
Szóval azt szeretném, hogy authentikáció után relay-ezzen, de ne fogadjon el authentikációt TSL nélkül, nehogy véletlenül kódolás nélkül küldjék át a felhasználók a jelszavukat.
Vagy teljesen feleslegesen kűzdök? Az SMTP-ben nem tudom ezt kiküszöbölni? T.i. ha nem küldött STARTTSL-t, hanem benyomta az AUTH-ot, akkor már abban a pillanatban úgyis átment a jelszó kódolásn nélkül?
Kössz,
Balázs
- 975 megtekintés
Hozzászólások
Az TLS, mint transport layer security, nem TSL, szóval így próbálj rákeresni.
Én egy ilyet találtam:
http://jeremy.zawodny.com/blog/archives/000453.html
Úgy látom ebben benne van pont az a két opció, ami neked kell.
- A hozzászóláshoz be kell jelentkezni
az /etc/exim4/exim4.conf.template aljan megtalalod:
server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
a kliens addig nem kuldhet authentikalashoz adatokat mig nem tudja hogy a szerver milyen tipusu authentikaciot (PLAIN,LOGIN,CRAM-MD5,NTLM,stb...) tud kezelni, mivel mas-mas formaban kell elkuldeni az adatokat. ezert eloszor meg kell kerdeznie a szervertol hogy mit tamogat. a szerver viszont mast felelhet attol fuggoen hogy van-e tls.
- A hozzászóláshoz be kell jelentkezni
Köszönöm a gyors válaszokat. Valóban a server_advertise_condition a megoldás. (Bocs az én disztribúciómban nem volt ilyen template.)
Csak még annyit tennék hozzá, hogy tulajdonképpen itt nem is az authentikáció típusa számít, hanem az, hogy a szerver nem is ajánlja fel az authentikációt, amig nem áltunk át TLS-re (titkosított csatornára). Ha viszont ez már megvan, akkor tulajdonképpen mindegy is az authentikáció típusa, mert az üzenet a továbbiakban nem lopható le. Illetve a kliens sem fogja bután elküldeni a jelszót amíg nincs TLS beállítva kliens oldalon is, hiszen nem kap ilyen bíztatást a szervertől. Az igaz, hogy kissé elítélhető módon nem az lesz a hibaüzenetem, hogy nincs titkosítás, hanem az, hogy a szerver nem fogad el authentikációt. Pontosabban jelen esetben azt, hogy "relay not permitted", ugyanis a kliensek bepróbálkoznak a küldéssel, hiába mondom neki, hogy authentikálni kellene.
Mindegy átírtam a hibaüzenetet... :)
Tehát a teljes megoldás:
tls_advertise_hosts = ! localhost
auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}
...
deny message = Relay not permitted. Set outgoing mail security (TLS) before authenticating
b,
- A hozzászóláshoz be kell jelentkezni