Sendmail a "řízený" RELAY

Michal Dobes dobes na tesnet.cz
Středa Srpen 10 14:18:48 CEST 2005 

Miroslav BENES napsal(a):
> Potřeboval bych nastavit sendmail tak, aby přijímal zprávy odkudkoliv 
> (zaměstnanci cestující s ntb). Protože ale nechci aby byl tento stroj 
> zneužit k rozesílání spamu, potřeboval bych :
> 
> a) přebírat poštu jen od prověřených uživatelů (prokážou se znalostí 
> dvojice jméno/heslo) bez omezení IP adresy odesilatele
> b) nepřebírat poštu od klientů kteří se neproikážou podle bodu a)
> c) data přenášet šifrovaně

A pokud nechcete byt zneuzit, tak by tam mela byt i podminka,
ze nedovolim autorizaci uzivatele, pokud to neni sifrovany kanal
(aspon pro LOGIN a PLAIN metodu overeni).

Tak od boku, vetsina se to da nastavit pomoci zapisu do access souboru.
Zhruba takto (po pameti, detaily jsou v dokumentaci):
127.0.0.1		RELAY
Srv_Features:		acl
TLS_Clt:		ENCR:128

Prvni je asi jasne, povoli relay sam sobe.
Druhy radek udela, ze klient se musi autorizovat a pritom autorizace
bude pripustna jen v pripade, ze je pouzit bezpecny kanal.
Treti radek rika, ze klient musi pouzit sifrovaci algoritmus
pouzivajici alespon 128 bitu dlouhy klic.

Aby to cele fungovalo, tak je treba mit uchozen sasl, coz
asi mate, jestlize funguje auth. Pro sifrovani je treba mit
vygenerovane certifikaty pro sendmail a nastaveny, coz
se obvykle dneska dela pres sendmail.mc a ve vetsine distribuci
tam bude prednastaveno neco na ukazku.
Dany certifikat by mel mit nastaveno toto pouziti:
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, msSGC, nsSGC
nsCertType = server

A samozrejme sendmail musi byt prelozen s podporou pro toto,
coz asi ve vetsine distribuci uz je. :-)

K bodu b), pokud jste neco nerozvrtal, tak sendmail sice
prijma postu i od neautorizovanych uzivatelu, ale jen v pripade,
ze ma cilovou destinaci na danem serveru (nebo neni v konfiguraci
receno jinak).

> Předem děkuji za nakopnutí - nejlépe česky, ale i pořádný vyčerpávající 
> popis v angličtině by se hodil.

Jednak sendmail na linux.cz by byla vhodnejsi konference.
Pak je to vse popsano v README souboru sendmailu
a v op.me. V RPMkovyh distribucich je to pravdepodobne
v balicku sendmail-doc.

	M.

Další informace o konferenci Linux