GIODO i szyfrowanie poczty

Konfiguracja serwerów, usług, itp.
ODPOWIEDZ
sethiel
Junior Member
Posty: 762
Rejestracja: 28 stycznia 2008, 11:50
Lokalizacja: Wrocław

Post autor: sethiel »

Po pierwsze uruchom SSL albo TLS - co Ci tam łatwiej. Po drugie wyłącz nieszyfrowane połączenia.
Że już będę taki co na tacy, ale nuda dziś w robocie okrutna; master.cf - połowa zerżnięta od Lemata http://www.lemat.priv.pl/index.php?m=mapa&id=12

Kod: Zaznacz cały

smtp      inet  n       -       -       -       -       smtpd
    -o smtpd_sasl_auth_enable=no
    -o content_filter=smtp-amavis:[127.0.0.1]:10024
    -o cleanup_service_name=cleanup-ext

cleanup-ext   unix  n       -       -       -       0       cleanup
   -o virtual_alias_maps=proxy:mysql:/etc/postfix/mysql_virtual_alias_from_outside_maps.cf

#  If they want to relay, make them use port 587 (submission) or port 465 (smtps)
submission inet n       -       -       -       -       smtpd
    -o smtpd_tls_security_level=encrypt
    -o smtpd_sasl_auth_enable=yes
    -o milter_macro_daemon_name=ORIGINATING
    -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
    -o smtpd_proxy_filter=
    -o smtpd_sender_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
    -o smtpd_client_restrictions=permit_sasl_authenticated,reject
    -o receive_override_options=no_header_body_checks

smtps     inet  n       -       -       -       -       smtpd
   -o smtpd_tls_security_level=encrypt
   -o smtpd_tls_wrappermode=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject
   -o smtpd_sender_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject

#  We will use port 4650 for clients that use STARTTLS:
4650     inet  n       -       -       -       -       smtpd
   -o smtpd_tls_security_level=encrypt
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject

pickup     fifo  n       -       -       60      1       pickup
   -o content_filter=

cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp

# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5

showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache

maildrop  unix  -       n       n       -       -       pipe
   flags=ODRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}

dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient} -e

vacation  unix  -       n       n       -       -       pipe
     flags=Rq user=vacation argv=/var/spool/vacation/vacation.pl -f ${sender} -- ${recipient}

uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)

ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

smtp-amavis unix -    -    n    -    5    smtp
    -o smtp_data_done_timeout=1200
    -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes

127.0.0.1:10025 inet n    -    n    -    -    smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_delay_reject=no
    -o smtpd_client_restrictions=permit_mynetworks,reject
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=reject_unauth_pipelining
    -o smtpd_end_of_data_restrictions=
    -o mynetworks=127.0.0.0/8
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0
    -o receive_override_options=no_address_mappings,no_header_body_checks,no_unknown_recipient_checks,no_milters

127.0.0.1:10035 inet n    -    n    -    -    smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_delay_reject=no
    -o smtpd_client_restrictions=permit_mynetworks,reject
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=reject_unauth_pipelining
    -o smtpd_end_of_data_restrictions=
    -o mynetworks=127.0.0.0/8
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0
    -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
Tylko nie wklejaj tego jak popadnie tylko sobie weź co tam chcesz. W razie jakby co vacation.pl (po wielu próbach i zgryzotach) mam sprawny.

W razie nadmiaru czasu szanownych forumowiczów sugestie odnośnie błędów lub głupot mile widziane. (aczkolwiek raczej się starałem :) ).
Na górę
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Tak jak mówią poprzednicy, póki co widzę tylko u Ciebie wdrożenie jedynie transmisji szyfrowanej.
Chcąc mieć dodatkowo szyfrowane wiadomości czy to za pomocą PGP czy S/MIME podstawą jest, aby to odbiorca posiadał parę kluczy (szyfrujesz kluczem publicznym odbiorcy).
To odbiorca winien Ci dać klucz publiczny. ( W jego interesie jest, aby poczta kierowana do siebie była szyfrowana).
Ponadto na daną chwilę nie znam żadnego klienta webmail (chyba tylko owa, może squirrel+plugin), która ma mechanizmy PGP lub S/MIME.

Ty jesteś zobowiązana do zabezpieczenia własnego "podwórka". Co zrobi petent z dostarczaną pocztą to już jego problem. Załącznik zawsze można pakować z hasłem. Hasło przekazywać osobnym kanałem (np sms). Administrator serwera pocztowego zawsze może sobie ściągnąć pocztę i odczytać (leżą otwartym tekstem). Jedyny ratunek to PGP lub S/MIME, co gorąco polecam.

Ponadto oprócz mechanizmu ssl/tls zainteresuj się czymś takim jak spf i dkim, bo to też bardzo ważne w kontekście podszycia się pod twój serwer pocztowy.
Na górę
ODPOWIEDZ

Wróć do „Serwer”