Re: chráněný RELAY (potřetí :-( )

Čtvrtek Srpen 18 22:51:57 CEST 2005

Poprvé neprošlo, podruhé také ne :-(

---------- Forwarded message ----------
Date: Thu, 18 Aug 2005 15:34:17 +0200
From: Vladimír Solnický <vs-ml na email.cz>
To: Účastníci konference o MTA sendmail <sendmail na linux.cz>
Subject: Re: chráněný RELAY

Dobrý den!

Jelikož v této oblasti jsem jen nedouk (kdysi jsem něco dělal, nějak to
fungovalo, ale již dlouho jsem na nic se sendmailem opravdu nesáhl), tak
napíši jen to, co je zřejmé, abych znalejším ušetřil práci a mohli se
případně věnovat rovnou podstatě problému.  :-)

Miroslav BENEŠ wrote:
        Jako klienta používám Thunderbird na Woknech. Veškerou poštu
        kterou tento server přijme předá ke zpracování stávajícímu
        inter

Znamená to, že přes tento server jde pouze pošta od cestujících
zaměstnanců, ne pošta z Internetu směřující do Internetu? Pokud by tudy
tekla i normální pošta, pak byste doručování bez hesla zakazovat nechtěl,
protože byste tím znemožnil doručování pošty (na postu SMTP, tj. 25).
Pokud platí domněnka, že jde o specializovaný server pouze pro cestující
zaměstnance, je implicitně zapnuto přijímání pošty pro místní uživatele
odkudkoliv i bez autorizace a pokud to chcete jinak, vynuťte si ověření
totožnosti vhodným příznakem u tuším DEMON_OPTIONS (snad je to M=a -- dle
http://www.sendmail.org/~ca/email/auth.html). Doplňte si ho, vygenerujte
nové sendmail.cf a restartujte sendmail. Ten příznak, který myslím, by,
pokud si to dobře pamatuji, měl vynutit ověření totožnosti vždy. Druhou
možností by bylo požadovat via TLS vrstvu klientský certifikát podepsaný
Vaším firemním a požadovat ověření klientského certifikátu (verify).

Mimochodem, na URL, které jste uvedl, je odkaz na novější verzi téhož
dokumentu jinde (asi 10 KiB textů větší).
[http://www.howtoforge.com/howto_sendmail_smtp_auth_tls/]
        No a druhý háček - když jsem si pořádně přečetl návod a
        sestavil jsem certifikáty se správně vyplněným jménem stroje,
        daly se najednou do TB dostat i "trvale". Což je sice pokrok,
        ale na druhou stranu jsem zjistil, že se v takovém případě dá
        tomuto serveru podat jakýkoliv mail - stačí odškrtnout
        políčku "Použít jméno a heslo".

        Takže dotaz - jak se má správně nastavit autentizace ? Určitě
        nejsem první kdo tohle řeší.
        Potěšil by mě podrobný návod v češtině, ale nepohrdnu ani
        angličtinou. Návodů se sice dá najít spousta, ale v každém to
        řeší trochu jinak a zatím se mi nepovedlo najít takový podle
        kterého bych to rozchodil.

Možná je pro Vás řešením příznaku a jak řečeno a výše a následující:

    Require AUTH

You can require the use of SMTP AUTH for relaying by simply turning off
other means of relaying for incoming mail, e.g., the access map or class
R. That is, if you have my.domain in /etc/mail/relay-domains or

   my.domain	RELAY
in the access map, then remove the entry from class R
(/etc/mail/relay-domains) and use

   To:my.domain	RELAY
in the access map.

Requiring SMTP AUTH for all mails is in general a bad idea, because then
you cannot receive mails from other users (since the cannot
authenticate). So you must do this only on a server that is solely
intended for your own users to send mail, not for a publically advertised
(via MX records) server.

Potenciálně zajímavé odkazy  

http://www.sendmail.org/~ca/email/auth.html
http://www.sendmail.org/tips/relaying.html
http://www.sendmail.org/m4/smtp_auth.html
http://www.sendmail.org/m4/starttls.html
http://www.sendmail.org/m4/tweaking_config.html#DAEMON_OPTIONS

Nakonec jsem napsal více, než jsem se původně domníval, že napíši, a
možná to  tím vyřršíte. Pokud ao, pošlete sem, prosím, fungující řešeni
(po anonymizaci).

Díky!

V. S.