Re: jak nastavit sifrovane overovani smtp?
Martin Bubik
martin.bubik at seznam.cz
Thu Apr 10 09:02:24 CEST 2008
> Martin Bubik napsal/wrote, On 04/09/08 23:40:
> > podarilo se mi rozchodit mailserver zalozeny na Postfixu s Dovecotem.
>
> > SMTP server musi odeslat jmeno a heslo aby byla zprava predana do cizi domeny
> coz taky funguje, ale zde uz nemohu pouzit zabezpecene spojeni TLS
>
> > Takze jsem nucen pouzivat smtp server bez sifrovani, cili je mi nejspis uplne
> k nicemu ze imap je zasifrovany pres TLS kdyz pri odesilani mailu se prenasi
> jmeno a heslo k emailu nezasifrovane
>
> > rozumim tomu dobre?
>
> Neprenasi. Nejspis.
>
> Metod, jak se autentizovat jmenem a heslem existuje nekolik a nektere z
> nich jsou bezpecne i v pripade, ze spojeni samo jako takove sifrovane
> neni. Takze zalezi jakou metodu Thunderbird proti te tve konfiguraci
> nakonec pouzival.
>
> Pokud by ti tedy slo pouze o zabezpeceni toho jmena a hesla, pak TLS
> nemusi byt potreba. Cimz te nezrazuju od toho, abys ho tam mel.
>
> Mimochodem, jeste by mela byt mozna take druha varianta - TLS bez SASL
> autentizace. Kdyz uz vyrabis RSA klic pro server, vyrob i klice pro
> uzivatele - at se autentizuji jim a ne heslem.
>
> Pravda, vlastne nevim, jestli tohle v Postfixu jde - delal jsem to sice
> nedavno, ale v sendmailu.
>
> Dan
v tom thunderbirdu je to tak ze v nastaveni smtp serveru musim zaskrtnout
"pouzit jmeno a heslo" a zadat uzivatelske jmeno ktere ma pouzit pro prihlaseni
pri odesilani se me pak thunderbird zepta na heslo k tomu uctu (ktere pak muzu nechat ulozit)
dale je tam volba "pouzit zabezpecene spojeni SSL" tam muzu vybrat budto "zadne" nebo "TLS" nebo "SSL"
ja mohu pouzit pouze volbu zadne, u imapu je krome techto voleb jeste navic jeste volba "pouzit zabezpecenou autentizaci"
coz je, ze v logu se mi pak objevi u loginu "method=CRAM-MD5" tohla volba ale u smtp neni, takze asi to odesilani neni nijak sifrovano.
Tento server by mel slouzit jako takovy maly webhosting pro nekolik firmicek kterym delam stranky, vetsina tech lidi je rada ze si dokazou zapnout pocitac takze jim to chci maximalne ulehcit a moc se mi nechce je zatezovat jeste nejakyma certifikatama, uz takpri prvnim prihlaseni kdyz thubderbird zjisti se pouzivam sefl-signet certifikat je to bude strasit ze mam neduveryhodny server a ja je budu muset presvedcovat ze tomu certifikatu muzou verit :)
takze chci to udelat co nejjednoduseji pro zakaznika ale zaroven aby to melo nejakou uroven bezpecnosti at nereknou ze to delal amater (coz je vlastne pravda :) )
More information about the Users-l
mailing list