[MontelLUG] Postfix & sicurezza smtp

[Daneel Olivaw]

Il 31/08/07, Luca Lorenzetto <lorenzetto.luca a gmail.com> ha scritto:
>
> beh, allora per evitare l'open relay devi buttarla su sasl, e dipende
> poi come e' configurata la posta (cioe' se hai virtual users/virtual
> domains).

Uso gli utenti di sitema; per ora mi va ancora bene, dato che ne ho pochi ^_^

> per la riservatezza basta attivare tls con queste righe qui:
>
> smtpd_use_tls = yes
> #smtpd_tls_auth_only = yes

Sì...
> smtpd_tls_key_file = /etc/ssl/certs/mail_key.pem
> smtpd_tls_cert_file = /etc/ssl/certs/mail_cert.pem
> smtpd_tls_CAfile = /etc/ssl/cacert.pem

Ho seguito un tutorial che mi ha fatto mettere da altre parti, quindi
ho il percorso diverso, ma ci siamo...

> smtpd_tls_loglevel = 3
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> tls_random_source = dev:/dev/urandom

Bene anche qua.

> tlsmgr    unix  -       -       n       300     1       tlsmgr
> smtps      inet  n       -       n       -       -       smtpd -o
> smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
> 587        inet  n       -       n       -       -       smtpd -o
> smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
>
> nel master.cf.

Ecco, e di queste nessuno mi ha mai detto niente... ah, da come è
scritto, tu usi postfix non chroottato, mentre io ho lasciato la
configurazione di default in cui lo è.
In pratica, tra commentate e non, ho queste righe:

tlsmgr    unix  -       -       -       1000?   1       tlsmgr
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#628      inet  n       -       -       -       -       qmqpd

E l'unico "enforce" è qui:
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_enforce_tls=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Certo che 'sto Postfix fa tante cose, ma è bello tosto da conoscere tutto...

Ora funziona così: ho l'smtp bello aperto (tranquilli, la macchina non
è esposta) che riceve mail da inviare da tutti, mentre per via sicura
mi dice:

Aug 31 14:13:49 arthur postfix/smtpd[23746]: TLS connection
established from unknown[ip.mac.china.mia]: TLSv1 with cipher
DHE-RSA-AES256-SHA (256/256 bits)
Aug 31 14:13:56 arthur postfix/smtpd[23746]: warning: SASL
authentication failure: cannot connect to saslauthd server: No such
file or directory
Aug 31 14:13:56 arthur postfix/smtpd[23746]: warning: SASL
authentication failure: Password verification failed
Aug 31 14:13:56 arthur postfix/smtpd[23746]: warning:
unknown[ip.mac.china.mia]: SASL PLAIN authentication failed: generic
failure

Ritorno nel campo di battaglia. Se qualcuno vuole suggerire, io sono
qui; se invece sghignazzate all'ombra di RTFM, vi arrivino manuali
incomprensibili e cose rognose >:-)

> Poi devi istruire i client a usare tls. E generarti i certificati sul
> server (anche).

Fatto.

> per gli altri servizi (pop3, imap4 meglio) non ricordo, ma e' semplice.
>
> Ora mi informo  :-D

Sono a posto, a confronto della parte "smtp sicuro", sono di una
banalità mostruosa ^_^

Grassie e a presto :-)
Daneel Olivaw

-- 
"Chi è pronto a rinunciare alle proprie libertà fondamentali per
comprarsi briciole di temporanea sicurezza non merita né la libertà né
la sicurezza" - Benjamin Franklin