Sendmail + STARTTLS

Ivo Hazmuk ivo at vutbr.cz
Fri Jun 21 22:44:04 CEST 2019


Dne 21.6.2019 v 20:44 Dan Lukes napsal(a):
> On 21.6.2019 19:22, Ivo Hazmuk wrote:
>> Musím s Danem mírně nesouhlasit ve věci workaroundu s ad-hoc vypínáním 
>> STARTTLS.
>> V poslední době se nám množí případy, že se spolu snaží navázat spojení 
> 
> No, jestli s eneco posunulo uplne cerstve, al eme si jest enikdo 
> nestezoval, tak to nemusim vedet.
> 
>> dva stroje, jejichž implementace TLS nemají žádný průnik. Zejména, 
>> pokud je správce na novějším stroji přísný a zakáže všechny 
>> starší/slabší protokoly.
> 
> Tohle me zajima. A vy mate naopak zakazane ty moderni ze mate prazdny 
> prunik ? A proc ?

nee.
1) Na jedné starší instalaci (FreeBSD 8 a OpenSSL 0.9.8) najednou 
přestala chodit pošta do jedné domény. Tamní správce byl příliš přísný a 
nepotkali jsme se. Pomohlo přeposílat přes smart hosta s FreeBSD 10.

2) Na FreeBSD 10 jsme trochu zpřísnili podmínky a s Win Exchange server 
2003 se už nelze domluvit.

> Ja pro starsi implementace podporuju SSLv3 a na nem ECDHE-RSA-Au-SHA a 
> ECDH-RSA-Enc-SHA (kde Enc je bud' AES128 nebo AES256) a pro ty moderne 
> orientovane TLSv1.2 a ECDHE-RSA-Enc-Mac (kde Enc je bud' AES128, 
> AESGCM(128), AES256 nebo AESGCM(256) a Mac je SHA384 nebo SHA256). A zda 
> se mi to byt dostatecne pro vsechny situace.
> 
> Protoze jste me trochu znervoznili, tak jsem se teda podival na 
> strukturu NOQUEUE pripadu. A nic podezreleho tam nevidim. Teda, krome 
> toho, ze u 90% zaznamu si uz jen ocima troufam kvalifikovane odhadnout, 
> ze z tohoto zdroje urcite neprichazi zadny vyzadany email (pokud tedy 
> vubec nejaky).
> 
> Nejaky priklad s kym mas potiz ?

Při posílání pošty z FreeBSD 8, ano je to starý systém, v dnešní době už 
leckam. Např. mou.cz, bayern.de, sportisimo.cz, ...

>> Můžeš zkusit navázat SMTP relaci směrem na druhou stranu z příkazové 
>> řádky. Viz. man s_client (součást openssl).
> 
> Jsme to pochopil tak, ze ma problem, kdyz je server, takze klient je ten 
> druhy.
> 
> A protoze klientske a serverove parametry se (alespon u sendmailu) 
> konfiguruji kazdy zvlast, nemusi byt test "zpetnym volanim" uplne 
> prukazny. Ale ano, za pokus nic nedas.

To máš pravdu, ale parametry jsou velmi často nastaveny stejně, takže ti 
tento pokus může napovědět.

I.


More information about the Users-l mailing list