Как организовать доступ к smtp серверу извне?
Welmar 22 мая, 2014 - 18:01
Есть smtp сервер реализованный на exim. Из внутрисети письма в мир уходят, все работает нормально.
Что поменять в конфиге exim, на сервере, чтобы можно было подключившись с любого ip адреса,
через почтовый клиент, использовать для отправки почты мой smtp сервер?
Т.е. работать с корпоративной почтой в командировке или отпуске.
»
- Для комментирования войдите или зарегистрируйтесь
Тогда это будет free relay
Тогда это будет free relay :) или делай авторизацию, через pop3, например... как вариант - VPN.
Так вопрос стоит по smtp, с
Так вопрос стоит по smtp, с pop3, т.е получением почты все нормально, а сделать, как smtp провайдера. Чтоб доступ был по авторизации и не попасть в грей, спам и прочие бан списки. Как такое сделать?
Нанять сисадмина, а лучше
Нанять сисадмина, а лучше постмастера.
Ну или учится, учится и учится.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Да, надо.
Да, надо.
тык эта, тараканы. угу,
тык эта, тараканы. угу, застывшие ;)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
А я кто по Вашему? Стоит
А я кто по Вашему? Стоит конкретная задача, готовых решений google не дает. Я у провайдера не работал. Дайте конфиг exima провайдера, я и сам разберусь. И не с таким разбирался, но сейчас ограничен по времени. И флудить в теме невежливо.
По нашему - вы админ локалхоста...
С таким подходом вы не только "у провайдера", но и в любой мало-мальски приличной конторе никогда работать не будете. По-крайней мере я бы вас точно на работу не взял.
А если нужно "готовое решение" для "конкретной задачи" - тогда вам в "Разовые работы"!
Welmar написал(а): Так вопрос
Да уж... видимо вы совсем не в теме, - вам для справки: перед установлением SMTP соединения можно сделать авторизацию по POP3.
Но, думаю, вам будет проще, как я и говорил уже - поднять VPN и явно разрешить VPN-подсеть для почты по аналогии с вашим LANом.
А сам VPN тоже может пригодится!.. ;)
Ну и как eще вариант - проброс SMTP траффика через SSH соединение.
Ну и как eще вариант -
Ну и как eще вариант - проброс SMTP траффика через SSH соединение.
Угу, на клинтах с виндой или на телефонах с огрызком - еще и побегать ногами, настраивая всю эту машинерию
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Несомненно.
Пользователи перечисленных платформ должны в полной мере наслаждаться следствиями сделанного ими (безусловно осознанного) выбора.
:wq
--
Live free or die
угу, пи.... не мешки ворочать
угу, пи.... не мешки ворочать - юзерам пох, в отличии от админов; бегать нуна будет админам, но хабрачкам насрального это невдомек.
п.с я н никогда никому низачто не расскажу про automx и exchange discovery ;)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
С заслуживающим лучшего применения прикидывающемуся валенком главному и вероятно единственному почитающему насрального хабрачку ноге очевидно неизвестны следствия реализации вендоодменом мечты о неподнятии пятой точки от кресла (и остро не хватает впечатлений от типических последствий такого сидения).
И юзерам не пох, они просто привычные к… особенностям столь любимого ногой вендоодменестрирования (феномен временный — любимый ровно до того момента, пока с ноги не начнут спрашивать за результат и/или цену достижения оного, но нет ничего более постоянного, чем временное).
И уж совершенно бесполезно пытаться занести в его моск знание об отличиях между "информацией" из используемых им в качестве источников рекламных проспектов фирмы майкрософт от практики.
:wq
--
Live free or die
Вы видимо не поняли, вопрос
Вы видимо не поняли, вопрос стоял, сделать нормальный доступ с авторизацией по smtp протоколу. Разве в том же google, mail.ru и т.д производится авторизация через vpn, ssh и прочие хитрости? Там вроде безопасное tls и порт соответствующий. Надо, чтоб просто работало соединение извне и не банили сервер. За идеи по vpn - спасибо, на будущее пригодится.
Мы-то поняли!.. :)
Мы-то поняли!.. :)
А вы, как видимо, нет!..
Так вот - вам, для общего развития, начальная информация: SMTP не имеет авторизации!!! (сюрприз!) потому и предлагались разные варианты (в том числе: нанять специалиста или учиться самому)... :)
А с чего вы решили, что у них exim стоит?!.. или что там все просто и вы не глядя сходу сделаете аналогично?!
То, что они тоже слушают 25 порт и отвечают на SMTP команды совершенно не означает, что у них стоит какой-либо стандартный почтовик a-la exim, postfix или sendmail, наоборот, могу вас уверить, у них там кое-что совсем иное (кстати, хитростей там тоже хватает, поверьте уж!) и повторить это у себя вы точно не сможете! :)
Поэтому не ждите готового решения, начните делать сами (по одному из вариантов выше или пробуйте что-нибудь еще) и задавайте конкретные вопросы, если что не получается (с логами и своими конфигами)... или в "Разовые работы"! ;)
K тому же вы не различаете шифрование и авторизацию... :)
И, поверьте, VPN будет для вас самым простым и надежным решением, тем более, что вы, видимо, используете POP3 для удаленной работы с почтой, а там (сюрприз No 2!) пароли передаются открытым текстом, и любой админ (гостиницы и/или беспроводной точки доступа и прoчего) может с легкостью получить ваши пароли. Да и клиенты для OpenVPN есть для практически любой носимой коробочки.
SMTP не имеет авторизации!!!
))) А это что по-вашему, уважаемый SysA?
Вы хотите сказать, что exim так настроить нельзя?
Или здесь не шифрованное соединение на 25 порту устанавливается?
Это я проделал из командной строки только что.
Это любой админ в гостинице прочитает? И пароль взломает?
openssl s_client -connect smtp.gmail.com:25 -starttls smtp CONNECTED(00000003) depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com i:/C=US/O=Google Inc/CN=Google Internet Authority G2 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2 i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority --- Server certificate -----BEGIN CERTIFICATE----- MIIEdjCCA16gAwIBAgIIOuQOXm7sFPMwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UE BhMCVVMxEzARBgNVBAoTCkdvb2dsZSBJbmMxJTAjBgNVBAMTHEdvb2dsZSBJbnRl cm5ldCBBdXRob3JpdHkgRzIwHhcNMTMwOTEwMDc1NDQ3WhcNMTQwOTEwMDc1NDQ3 WjBoMQswCQYDVQQGEwJVUzETMBEGA1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwN TW91bnRhaW4gVmlldzETMBEGA1UECgwKR29vZ2xlIEluYzEXMBUGA1UEAwwOc210 cC5nbWFpbC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCpMKDa E9bW18yuVMulny5K5YLwf7ebEpINUVPZXvp7cO6vNjl+MCHjhbB2Rkg7QVJE8eNS V0Hpq3vOuz+RQ2rPKfaeM3MFBZJ+tKscC39XmlVtmyBW5AVWy5dlO7718MQCN/L5 kpYSY6RinFrf5pIlf5XSGRCo3WYndguPP1A+X4gsDKjMaWhCP5KfczLHGTY+4T+d 31lDSah8CbFeMvKav0SFnyRYM36YAvAk2HH1/64Tolbx9tMAW6e6q8dU1U6W5u6+ Bt7WjW1iYwwfML+ZorKR9p+V070nDDN42ZE8HVZw+hOl9eMl48L/eX0eKbSGZBC2 1IK16eISmcFKML1bAgMBAAGjggFBMIIBPTAdBgNVHSUEFjAUBggrBgEFBQcDAQYI KwYBBQUHAwIwGQYDVR0RBBIwEIIOc210cC5nbWFpbC5jb20waAYIKwYBBQUHAQEE XDBaMCsGCCsGAQUFBzAChh9odHRwOi8vcGtpLmdvb2dsZS5jb20vR0lBRzIuY3J0 MCsGCCsGAQUFBzABhh9odHRwOi8vY2xpZW50czEuZ29vZ2xlLmNvbS9vY3NwMB0G A1UdDgQWBBQEQ01ljbiIzNcZdvg6hhkpxvAmujAMBgNVHRMBAf8EAjAAMB8GA1Ud IwQYMBaAFErdBhYbvPZotXb1gba7Yhq6WoEvMBcGA1UdIAQQMA4wDAYKKwYBBAHW eQIFATAwBgNVHR8EKTAnMCWgI6Ahhh9odHRwOi8vcGtpLmdvb2dsZS5jb20vR0lB RzIuY3JsMA0GCSqGSIb3DQEBBQUAA4IBAQAA3n1AtYa8ES0KDhRGEsXsWQEQp3m8 X3gXB6Rfg1mDRFqap67XYZTgYtGdeUOkbmXvfUYbljyTeSIdTN6iD/tzzaiJUzPl SwCT/ylI2kSo/0Km34rA5/D84Ja/1SSdCzxx4HFU0FlOERNg7RxSsW6F+f/QmTmZ J/3lYLI71meuut7O7G+BcFlXVphs5XSy65LkziTXikR+MRERjCKhv3AwP0oGB2+q APMUqxtH6K6hmFE5ELtYjS4rKLbH08s8gy65y/EiaBaWKBlKG6s+r22uyxu2xmgo LFf94N1gVJXuaZXlCgVwThCtbekh8wxjHtcVw2HCZfzQemEr7oshVOX2 -----END CERTIFICATE----- subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com issuer=/C=US/O=Google Inc/CN=Google Internet Authority G2 --- No client certificate CA names sent --- SSL handshake has read 3960 bytes and written 483 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES128-GCM-SHA256 Session-ID: 3B9C26617F332DAF8493418A8281AA6D5DA2EBB7650A81F4C2B2D8C2F98AC7C2 Session-ID-ctx: Master-Key: 0D04C156DC75CAD06A7084D7B5EC80DECE10037F745D8DC52305344A5526A3832DA4A38C7E8861B76617CD0463DA27CC Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 100800 (seconds) TLS session ticket: 0000 - 13 59 0c e8 14 55 eb 25-c7 f7 ea db b9 d1 dd 79 .Y...U.%.......y 0010 - d1 c4 37 ac d5 bd 19 53-5f 2e f7 d0 4e 88 e0 b3 ..7....S_...N... 0020 - 0a 44 15 08 9b 67 d0 65-94 37 25 6d 33 8f cb cf .D...g.e.7%m3... 0030 - 31 1c 81 70 5c 5c 62 82-19 44 a0 b6 27 94 04 3c 1..p\\b..D..'..< 0040 - ac df cd e6 f5 8c 85 b0-bc fc a9 bb 40 70 cb 21 ............@p.! 0050 - 82 0f 8c e5 3e ab ff 7d-84 06 7e 00 b8 81 34 77 ....>..}..~...4w 0060 - 25 85 64 a9 47 12 3f ad-48 83 da 35 f7 a4 7c c0 %.d.G.?.H..5..|. 0070 - ef 99 02 09 81 27 22 1f-b4 34 9a 92 3c 68 89 cf .....'"..4...l..q~.
00a0 - 66 8f 35 63 f.5c
Start Time: 1401131388
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
250 CHUNKING
И где здесь авторизация - в
И где здесь авторизация - в упор не вижу :-D
П.С
В стандате протокола smtp авторизация и шифрование канала опциональны.
Dixi !
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
)) Но Вы же прекрасно знаете,
)) Но Вы же прекрасно знаете, что установив шифрованное соединение, далее пойдет авторизация, внутри соединения.
И ЭТО в exim настроить нельзя? Надо обязательно ssh, соединение по pop3?))
Вы и коллега, прекрасно понимаете о чем я говорю, просто не хотите помочь.
И насчет опциональности, расскажите это тем, кто банит сервера без авторизации. На запросы сервера без авторизации, Вам ответят reject и отправят вычищать свое доброе имя из этих самых... баз.
И насчет опциональности,
И насчет опциональности, расскажите это тем, кто банит сервера без авторизации. На запросы сервера без авторизации, Вам ответят reject и отправят вычищать свое доброе имя из этих самых... баз.
Ваши знания поражают своей глубиной и тщательностью проработки темы.
К сожалению, реализация хромает, а так да, все остальное гениально. ;)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
1. Перечитайте мой пост еще
1. Перечитайте мой пост еще раз! В контексте открытого соединения речь шла о POP3!!!
2. Вы опять путаете шифрование и авторизацию! При установлении SSL/TLS сессии производится не авторизация, а только аутентикация подлинности SSL сертификатов и установление SSL сессии, но не авторизация SMTP соединения. Никакая авторизация "внутри" не пойдет, как вы говорите... :) Вы можете установить доверительное SMTP соединение на основе SSL сессии, также как можно его установить на основе предварительной POP3 авторизации или аналогичных процедур, как вам и предлагалось с самого начала...
3. Банят за "free relay", a не за отсутствие авторизации!!! А это уже совсем другой уровень и другое (третье!) свойство почтовиков! Устранение его делается не только (и не столько) авторизацией, но и фильтрацией подсетей, без какой-либо авторизации вообще.
У вас полная каша в голове, уж извините...
P.S. А чтобы у Вас не было иллюзий по поводу "защищенности" SSL/TLS соединений, почитайте хотя бы здесь для начала, а потом поищите в Инете на эту тему... уверяю Вас - откроете много нового для себя! :)
Уважаемый, SysA, 1. По пункту
Уважаемый, SysA,
1. По пункту 1 согласен.
2. По пункту 2 я не дописал того, что идет за установкой SSL/TLS сессии. Дописываю:
---
250 CHUNKING
ehlo smtp.gmail.com
250-mx.google.com at your service, [72.80.181.18]
250-SIZE 35882577
250-8BITMIME
250-AUTH LOGIN PLAIN XOAUTH XOAUTH2 PLAIN-CLIENTTOKEN
250-ENHANCEDSTATUSCODES
250 CHUNKING
AUTH LOGIN
334 VXNlcm5hbWU6
dG9naW40Mg==
334 UGFzc3dvcmQ6
bnaW40MgNS
235 2.7.0 Accepted
mail from:
250 2.1.0 OK ui5sm14534167lbb.32 - gsmtp
rcpt to:
250 2.1.5 OK ui5sm14534167lbb.32 - gsmtp
data
354 Go ahead ui5sm14534167lbb.32 - gsmtp
Prostoy test
.
250 2.0.0 Ok: queued as 4FAFFBFC76
quit
221 2.0.0 Bye
Connection closed by foreign host.
По-моему, команда AUTH LOGIN начинает авторизацию со стороны клиента.
Далее сервер запрашивает логин в кодировке base64, получает ответы от меня и пропускает к моему почтовому ящику.
То же самое делает и любой почтовый клиент, поддерживающий данный способ обмена.
Это именно то, что Вы назвали - "доверительное SMTP соединение на основе SSL сессии", но там имеет место авторизация.
3. Банят, за "freerelay" - согласен, но как причину указывают незаверенный SMTP - "PBL - Spamhaus PBL is a DNSBL database of end-user IP address ranges which should not be delivering unauthenticated SMTP email to any Internet mail server except those provided for specifically by an ISP for that customer's use." Именно это я имел ввиду, говоря об авторизации.
Все-таки имеет место SSL/TLS сессия, и далее, как я показал на реальном примере, авторизация со стороны клиента. Хотя между серверами, авторизации похоже нет, но тогда, согласно условию Spamhaus PBL, должна быть фильтрация, т.е. обмен разрешен только с узлов, указанных подсетей провайдера, например.
Так, что кашу в моей голове, Вы придумали.
И вопрос, остался открытым, как реализовать обмен между клиентским ПО и почтовиком - exim?
P.S. В указанной Вами статье, речь идет о подделке сертификатов. Но ведь миллионы пользователей используют тот же google и не усложняют себе жизнь дополнительной паранойей ))
1. зачет 2. теперь
1. зачет
2. теперь перечитайте мой пост еще раз! :) Я вам там черным по белому (или какая у вас там цветовая гамма) писал, что у Гугла используется СВОЯ система авторизации!!! Все еще не понятно?! Т.е. они САМИ написали front-end программу для авторизации и приема почты через установленную SSL сессию! Вы тоже так можете... теоретически... :) в конце концов - SSL сессия это только труба для передачи данных.
3. Так каша же и есть! Опять вы валите все в одну кучу: аутентификацию, авторизацию, подсети... посмотрели бы Википедию хотя бы, а я уже на этом закончил ваш ликбез, поскольку не вижу желания учиться. Удачи!
P.S. А насчет миллионов, - так они и SSL используют только потому, что Гугл автоматически перебрасывает на SSL сессию и по другому принципиально не дает подключаться, чтобы уменьшить свою головную боль от идиотов, которые не задумываются даже о собственной безопасности... Благодаря им и процветают ботнеты и сопутствующие проблемы.
P.P.S. А вам бы я посоветовал поменять профессию, пока не поздно...
Вся беда из-за того, что Вы
Вся беда из-за того, что Вы SysA не в теме.
2. Насчет gooogle, не знаю, может у них и есть такая программа.
Но неужели так трудно было написать, что нужно подправить несколько секций в конфиге exim
Секция acl
# Порты какие будет слушать Exim (25 и 465)daemon_smtp_ports = 25 : 465
# Указываем порт который будет работать с шифрованием SSL TLS
tls_on_connect_ports = 465
# Указываем где у нас находяться сертификат и ключ
tls_certificate = /etc/exim/ssl/exim.crt
tls_privatekey = /etc/exim/ssl/exim.key
про аутентификацию, Вы тоже не правы. Есть в exim такая секция :)
begin authenticatorsПлюс, жестко прописать, чтобы все ходили через ssl.
Я тут картинку приведу, может кому интересно будет. Как работает MTA.
Так вот, если домен чужой, то как раз авторизацию и проходим. О чем я собственно тут и спрашивал. :)
Вы навереное в прошлом программист и/или руководитель IT подразделения, а не сисадмин, поэтому, как человек далекий и амбициозный не знаете таких элементарных вещей.
Поэтому, SysA, учитесь, пока не поздно. ))
# Порты какие будет слушать
# Порты какие будет слушать Exim (25 и 465)
daemon_smtp_ports = 25 : 465
# Указываем порт который будет работать с шифрованием SSL TLS
tls_on_connect_ports = 465
:)
Плюс, жестко прописать, чтобы все ходили через ssl.
совсем все ? :-D
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga написал(а): совсем
Поясню. В конфиге exima, в секции аутентификации, для каждого метода, который разрешен, пропишу следующую строку:
server_advertise_condition = ${if eq{$tls_cipher}{}{false}{true}}Кое-что конечно не прописал, но там все просто. При желании можно разобраться.
зря Вы так, батенька...
Он на Вас тратил своё время и писал правильные вещи.
А то, что Вы не потрудились немного почитать документацию - это чья проблема?
exim в связке с dovecot'ом работает практически из коробки как надо. (4 строчки правится)
Авторизация (секция begin authenticators) отдается полностью на ваше усмотрение, екзим в это место передает лишь значения user и password, а как вы этим воспользуетесь - ваша головная боль.
У вас есть варинты:
- проверить внутри екзима его "встроенным" языком
- системными средствами (PAM,LDAP и пр)
- внешним скриптом (Perl,PHP,Python и пр.)
- СУБД
- pop3 before (dovecot, как правило, у которого те же, вышеперечисленные, возможности)
Как Вы поступите - это право вашей свободы выбора
Для начала Вы могли бы взять любой вариант рабочего конфига с www.lissyara.su/ и спросить о том, что не получилось
общий вопрос "как" подразумевает как-бы дежурный ответ - "как хотите"... (имхо)
А хаить за глаза людей, помогающих Вам (пусть и специфическим способом, которго Вы так и не понимаете пока) - не лучший метод поднять уровень своего профессионализма...
PS/ Когда Вы станете чуть-чуть пообразованней - Ваша манера ответов будет не очень отличаться от манеры того же SysA (и др. не менее уважаемых и мудрённых форумчан ;) )
что-то добрый я сегодня ....
Welmar написал(а): Вся беда
Хороший рисуночек ....^)