The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Настроить TLS на EXIM-е (SMTP сервере)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Шифрование, SSH, SSL / Linux)
Изначальное сообщение [ Отслеживать ]

"Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от korbnikemail (??), 02-Ноя-23, 12:25 
Добрый день!

Кто-нибудь использовал TLS при настройке почты на SMTP сервере EXIM ?
Нужно чтобы проходящая через EXIM почта шифровалась уходя во вне.
Например на внешний домен mail.ru почта зашифровывалась.
Можно ли так сделать или есть какие-то другие варианты конфигурации ?

Заранее благодарен, Борис.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от Тот самый (?), 03-Ноя-23, 16:27 
Добрый день, Борис!

> Кто-нибудь использовал TLS при настройке почты на SMTP сервере EXIM ?

Это штатный режим почты в наше время.

Исходящая наружу почта в exim контролируется в транспорте.

(мой рабочий конфиг):
begin transports
remote_smtp:
  driver                        = smtp
  command_timeout               = 2m
  connect_timeout               = 2m
  connection_max_messages       = 10
  max_parallel                  = 10
  port                          = 25
  message_size_limit            = 200M
  dkim_domain                   = my_domain.com #(1)
  dkim_selector                 = mail #(1)
  dkim_private_key              = /etc/exim/dkim.key #(1)
  dkim_strict                   = true #(1)
  dkim_sign_headers             = Date:Message-ID:Subject:From:To:In-Reply-To:References:MIME-Version:Content-Type #(1)
  tls_certificate               = /etc/ssl/my_domain.pem #(2)
  tls_privatekey                = /etc/ssl/my_domain.key #(2)
  tls_verify_certificates       = /etc/ssl/cacert.pem #(3)
  tls_try_verify_hosts          = *
  tls_verify_cert_hostnames     = *
  tls_tempfail_tryclear         = true #(4)
  tls_sni                       = *
  tls_require_ciphers           = HIGH:-SSLv3:-TLSv1:-ADH:-PSK:-ARIA:-CAMELLIA #(5)

(1) DKIM требует еще настроек в DNS. Можно не включать.
(2) Сертификат тот-же, что и на приеме почты
(3) Глобальные доверенные СА
(4) Если принимающий хост не работает по TLS, то передать в нешифрованном режиме
(5) Настройка openssl для работы только по TLS1.2 и TLS1.3

Ответить | Правка | Наверх | Cообщить модератору

2. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от korbnikemail (??), 07-Ноя-23, 10:28 
>[оверквотинг удален]
>            
>   = *
>   tls_require_ciphers          
>  = HIGH:-SSLv3:-TLSv1:-ADH:-PSK:-ARIA:-CAMELLIA #(5)
> (1) DKIM требует еще настроек в DNS. Можно не включать.
> (2) Сертификат тот-же, что и на приеме почты
> (3) Глобальные доверенные СА
> (4) Если принимающий хост не работает по TLS, то передать в нешифрованном
> режиме
> (5) Настройка openssl для работы только по TLS1.2 и TLS1.3

Добрый день!


спасибо большое за предоставленную информацию.
У куда этот транспорт ставить в exim.conf ?
Я думаю, что желательно в самом начале секции транспорта?

Заранее благодарен. Борис.

Ответить | Правка | Наверх | Cообщить модератору

3. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от Тот самый (?), 08-Ноя-23, 19:25 
День добрый!

Транспорт можно вставлять в любое место секции "begin transports". Порядок их описания не имеет значения, т.к. транспорты срабатывают только при вызове по их имени (в моем случае - "remote_smtp") из роутеров. А вот порядок следования роутеров значение имеет.

Для примера, самый первый роутер:
begin routers
dns_lookup:
  driver = dnslookup
  domains = !+local_domains   # для локальной доставки используется другой роутер
  rewrite_headers = false
  transport = remote_smtp     # вызов транспорта с именем "remote_smtp"
  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  no_more

Ответить | Правка | Наверх | Cообщить модератору

4. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от korbnikemail (??), 13-Ноя-23, 15:02 
День добрый!

Можно ли сделать так:

Допустим у нас есть какой-то список доменов tls_domainlist

Для этого списка доменов нужно обязательно шифровать, если будет ошибка при шифровании, то
не посылать сообщение, даже не зашифрованное. А для всех остальных доменов шифровать сообщение, потом отсылать, а при ошибки шифрования
отсылать не зашифрованное сообщение.

Заранее благодарен. Борис.

Ответить | Правка | Наверх | Cообщить модератору

5. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от Тот самый (?), 13-Ноя-23, 15:59 
Добрый день!

Не проблема.
Два разных транспорта и два соответсвующих роутера

begin transports

tls_always:
  driver                = smtp
.....
  hosts_require_tls     = mail.ru : gmail.com : и т.д.
  tls_tempfail_tryclear = false
......

tls_optional:
  driver                = smtp
.....
  tls_tempfail_tryclear = true
.....

############
begin routers

dns_lookup:
  driver = dnslookup
  domains = mail.ru : gmail.com : и т.д.   # только для этих доменов
.....
  transport = tls_always     # вызов транспорта с именем "tls_always"
  no_more

dns_lookup:
  driver = dnslookup
  domains = !+local_domains   # все остальные, кроме локальных
......
  transport = tls_optional     # вызов транспорта с именем "tls_optional"
  no_more

Ответить | Правка | Наверх | Cообщить модератору

6. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от Тот самый (?), 13-Ноя-23, 16:02 
Естественно, вместо явного перечня доменов в роутере можно использовать лист (как удобно)

domains = +tls_domainlist

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от Тот самый (?), 13-Ноя-23, 16:10 
Сорри, не обратил внимания, что в hosts_require_tls перечисляются хосты, а не домены. Т.е. надо

hosts_require_tls = mxs.mail.ru : .....

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "Настроить TLS на EXIM-е (SMTP сервере)"  +/
Сообщение от Тот самый (?), 14-Ноя-23, 00:02 
А совсем правильно будет в транспрорте tls_always поставить:

hosts_require_tls = *

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру