Обсуждение статьи тематического каталога: Как я прикручивал SASL к sendmail или авторизация по SMTP. (sendmail mail crypt sasl ssl linux)Ссылка на текст статьи: http://www.opennet.me/base/net/sendmail_sasl2.txt.html
На самом деле в бате есть "Аутентификация POP прежде SMTP" ;)
Хорошо!
Но почему бы и не углубиться в дебри?
Поддержка SSL всего пара строк раскоментировать:
dnl define(`confCACERT_PATH',`/usr/share/ssl/certs')
dnl define(`confCACERT',`/usr/share/ssl/certs/ca-bundle.crt')
dnl define(`confSERVER_CERT',`/usr/share/ssl/certs/sendmail.pem')
dnl define(`confSERVER_KEY',`/usr/share/ssl/certs/sendmail.pem')
dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl
Да ради бога углубляйтесь. Просто это желательно сделать после того как настроена простая аутентификация. А там можно и SSL прикручивать..
>>>На самом деле в бате есть "Аутентификация POP прежде SMTP" ;)Ну есть и что она дает ?? POP по-любому требует аутентификации перед забором почты. Я то речь веду не о том как с Бат-ом работать, а о том как sendmail защитить от ЛЮБОГО клиента (читай вируса) sendmail, чтобы он принимал к отправке сообщения только от авторизованных клиентов.
Да и еще учтите, что установив SMTP-аутентификацию вы не ограничите движение почты внутри вашего почтового домена, т.е. адресат vasya@mydomain.ru спокойно и без авторизации отправит письмо на petya@mydomain.ru или kolya@subdomain.mydomainru, т.к. эти адреса будут являться конечными для sendmail-а обслуживающего ваш домен mydomain.ru
>Да ради бога углубляйтесь. Просто это желательно сделать после того как настроена
>простая аутентификация. А там можно и SSL прикручивать..
>>>>На самом деле в бате есть "Аутентификация POP прежде SMTP" ;)
>
>Ну есть и что она дает ?? POP по-любому требует аутентификации
>перед забором почты. Я то речь веду не о том как
>с Бат-ом работать, а о том как sendmail защитить от ЛЮБОГО
>клиента (читай вируса) sendmail, чтобы он принимал к отправке сообщения только
>от авторизованных клиентов.
>
>Да и еще учтите, что установив SMTP-аутентификацию вы не ограничите движение почты
>внутри вашего почтового домена, т.е. адресат vasya@mydomain.ru спокойно и без авторизации
>отправит письмо на petya@mydomain.ru или kolya@subdomain.mydomainru, т.к. эти адреса будут являться
>конечными для sendmail-а обслуживающего ваш домен mydomain.ruАбсолютно с вами согласен. Я настроил авторизацию все заработало, но при отправки за пределы локального домена выходит ошибка: Relaying denied. IP name possibly forged (xxx.xxx.xxx.xxx) А как можно добиться чтоб без авторизации на серер вообще нельзя было зайти? Не важно внутри локального домена почта ходит или за его пределы.
Вечное переписывание манов - информативная ценность сатьи 0%.> Я то речь веду не о том как с Бат-ом работать, а о том как sendmail защитить от ЛЮБОГО клиента (читай вируса) sendmail, чтобы он принимал к отправке сообщения только от авторизованных клиентов.
Это вообще шедевр. Чем зашищать свой sendmail от клиентов-вирусов лучше бы поискали на google.com про "Open Relay" и то что вы "решаете" сейчас людей перестало волновать еще в 85 году.
Вот как раз OPEN Relay в седнмайле закрыт по дефолту , а SMTP -аутентификации по дефолту нет.
И по сему сия тема будет актуально с каждой новой установкой сендмайла.Все знают какие нужны справки для получения паспорта, но почему-то каждый раз переспрашивают у паспортистов......
Что-то у вас по-моему с общими пониманием SMTP проблемы. Если вы думаете, что написали что-то очень интересное и уникальное, то введите на opennet.ru в строке поиска "sendmail sasl auth" и читайте на здоровье.Что значит "OPEN Relay в седнмайле закрыт по дефолту", после таких перлов хочется спросить: "А вы sendmail то видели???". Что значит по дефолту? Где это вы такие сендмайлы находите? Т.е. tar xfzg sendmail.tar.gz && cd sendmail && ./configure && make install - даст нам полностью работоспособный SMTP сервер "сконфигурированный по-умолчанию"?
Вопрос 1: Каким образом "OPEN Relay в седнмайле закрыт по дефолту"? Т.е. скажите мне способ которым sendmail обрабатывает коннекты на 25 порт, что бы не предоставлять relay всем желающим?
Вопрос 2: Скажите своими словами как вы представляете работу sasl? Как взаимодействуют sendmail и sasl?
Вообще говоря, начиная с версии 8,9 sendmail ретранслирует почту только для тех хостов (или сетей), которые в явном виде прописаны в /etc/mail/accessВ статье речь идет о том, что не всегда надо принимать почту из своей внутренней сети (пример - вирус, который поселился на одном из внутренних хостов и пересылает спам через ваш сервер) и бывают случаи когда надо принимать почту из внешней сети (например, сотрудники в отпусках)
Хочу маленькое уточнение внести:
[root@localhost mail]# /usr/sbin/saslpasswd -a sendmail -u username
Выдает:
saslpasswd: usage: saslpasswd [-a appname] [-p] [-c] [-d] [-u DOM] userid
-p pipe mode -- no prompt, password read on stdin
-c create -- ask mechs to create the account
-d disable -- ask mechs to disable the account
-a appname use appname as application name
-f file path to sasldb
-u DOM use DOM for user domain
[root@localhost mail]# /usr/sbin/saslpasswd -a sendmail -u localhost.localdomain username
работает нормально
К стати сказать, чтобы вышеописанное работало под ASPLштгч 10 необходимо добавить 2 к saslpasswd
т.е. saslpasswd2
default-auth-info необходим для возможности работы sendmail с другими хостами, которые тоже используют авторизацию. Насколько я понял из манов, это своеобразный файл паролей