sendmail + STARTTLS -> помогите решить проблему 0

GNU/Linux, UNIX, Open Source → Программное обеспечение

raba написал 6 июля 2008 года в 13:29 (2296 просмотров) Ведет себя неопределенно; открыл 33 темы в форуме, оставил 77 комментариев на сайте.

Питаюсь прикрутить STARTTLS к sendmail, поскольку впервые ето делаю, посмотрел в handbook’e как ето делается ( http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/openssl.html ), все по шагом проделал, вроде проблемов не обнаружилось, только в telnet’e строка про STARTTLS не обнаружилас.

Trying 192.168.0.3…

Connected to testdom.ru.

Escape character is '^]’.

220 testdom.ru ESMTP Sendmail 8.14.2/8.14.2; Sun, 6 Jul 2008 13:08:49 +0400 (MSD)

ehlo testdom.ru

250-hostM.testdom.ru Hello [192.168.0.3], pleased to meet you

250-ENHANCEDSTATUSCODES

250-PIPELINING

250-8BITMIME

250-SIZE

250-DSN

250-ETRN

250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN

250-DELIVERBY

250 HELP

Посмотрев /var/log/maillog, там обнаружил ошибку:

STARTTLS=server: file /etc/cert/unameca.key unsafe: Group readable file

Права переправил на 600, сообщения изменились на

STARTTLS=server, error: SSL_CTX_use_PrivateKey_file(/etc/cert/unameca.key) failed

Если кто-нибудь проходил того же «ада» :), помогите поправится, или разумную ссылку на того как ето делается, буду благодарен!

Ответить Цитировать

Anarchist 11:17, 7 июля 2008

Гугл не помогает? Сказано же: http://www.linuxjournal.com/article/4823

Ты почему недостаточно внимательно читешь меня любимого?

В статье, где я разбирал тему OpenSSL (в том числе и генерацию сертификатов) чёрным по белому (правда для случая web-сервера) написано, что

При формировании ключа/сертификата сервера придётся вводить запрашиваемые passphrases. В дальнейшем для обеспечения возможности работы (старта) в полностью автоматическом режиме, скорее всего, потребуется создать ключ сервера, содержащий passphrase. Что делается следующей командой:
# openssl rsa -in server-1.key -out www.server-1.key
# chmod 400 www.server-1.key

sendmail, по всей видимости, при работе с OpenSSL не предоставляет пространства для паранойи (умеет работать только с ключами не требующими ввода passphrase) :(

Ответить Цитировать

metal 11:24, 7 июля 2008

Anarchist
sendmail, по всей видимости, при работе с OpenSSL не предоставляет пространства для паранойи (умеет работать только с ключами не требующими ввода passphrase) :(

Это просто безобразие! :)

Ответить Цитировать

Anarchist 11:30, 7 июля 2008

metal
Это просто безобразие! :)

Абсолютное!

Совершеннейший бардак, разброд и шатание!!! :)))

Ответить Цитировать

raba 11:41, 7 июля 2008

Не сортесь :) ,я разобрался с помощью вышеуказаной статьей!

Ответить Цитировать

Anarchist 11:47, 7 июля 2008

raba
Не сортесь :) ,я разобрался с помощью вышеуказаной статьей!

Мы не ссоримся, а просто решили, что тема раскрыта и можно с чистой совестью переходить к её забалтыванию :)

С помощью которой из вышепроцитированных статей?

На чём отстановился относительно принципов именования openssl-ключей для sendmail’а, с включённой passphrase?

ЗЫ: И не забудь раскрыть тему сопряжения sendmail’а с ключом, требующим ввода passphrase с клавиатуры. :)

Ответить Цитировать

raba 12:17, 7 июля 2008

Разобрался с помощью ( http://www.linuxjournal.com/article/4823 )

То что вы упоменули с ожидание ввода пароля, не пробовал но мне стало интересно, будет время обезательно попробую!

Ответить Цитировать

Anarchist 15:03, 7 июля 2008

Получил очередное подтверждение тому, что к бздишному хэндбуку должно относиться с изрядной долей осторожности?

raba
Разобрался с помощью ( http://www.linuxjournal.com/article/4823 )

Налицо вопиющее неуважение к моей скромной персоне :)

raba
То что вы упоменули с ожидание ввода пароля, не пробовал но мне стало интересно, будет время обезательно попробую!

Попробуй поиграться с Индейцем по упомянутой статье авторства меня любимого :)

Только здесь достаточно Индейца в нативном окружении.

Там оно куда как нагляднее выглядит.

И только после этого переходи к sendmail’у.

ЗЫ: Ты так и не ответил на вопрос по выбранному принципу именования ключей содержащих passphrase.

Ответить Цитировать

raba 11:58, 8 июля 2008

Теперь courier-imap ругается на STARTTLS! Помогайте! В логах вот:

0906D06C:PEM routines:PEM_read_bio:no start line

Сертификат у меня начинается так:

Certificate:
Data:

…

Удалял и заголовка, так чтобы осталось:

——BEGIN CERTIFICATE——-

Тоже ня а помгло!

Ответить Цитировать

Anarchist 13:40, 8 июля 2008

raba
Теперь courier-imap ругается на STARTTLS! Помогайте! В логах вот:
Сертификат у меня начинается так:

Удалял и заголовка, так чтобы осталось:

Тоже ня а помгло!

И правильно. А ты чего хотел?

Почто меня любимого не читаешь?!. :)

Умные люди пишут:

Courier IMAP and POP3 servers:

cd /etc/ssl/private
cat DOMAIN.ORG.key DOMAIN.ORG.crt > DOMAIN.ORG.pem
chmod 400 DOMAIN.ORG.pem
chattr +i DOMAIN.ORG.pem

/etc/courier-imap/imapd-ssl wrote:

IMAPDSSLSTART=YES
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_CERTFILE=/etc/ssl/private/DOMAIN.ORG.pem
TLS_TRUSTCERTS=/etc/ssl/certs

The same way you can configure pop3s too in /etc/courier-imap/pop3d-ssl.

На самом деле конечно хуйня. Но не то, чтобы полная.

И ты был в корне неправ не проштудировав мою статью, ссылку на которую я давал в теме (зачитать GPLv3 вслух три раза).

Потом — внимательно прочитать конфиг imap и/или pop3 (по вкусу) демона.

И наконец процитировать все упоминания ключей (!) и сертификатов (вопрос на троечку: почему не только сертификат сервера) из конфига (должно было сделать сразу!).

Ответить Цитировать

raba 13:54, 8 июля 2008

Д неужели все так сложно!!! Если честно ситуация начинает раздражать! все так разбросано, и Ничего не понял что откуда и куда. Нету ли где-то в сети, 'howto Courier-imap TLS’, или что-то вроде етого?????