tag:blogger.com,1999:blog-4428473564097379725.post515909216771054424..comments2024-03-14T06:42:34.180+05:00Comments on Ещё один блог сисадмина: Настройка SSL/TLS в Postfix, Dovecot, Lighttpdmorbohttp://www.blogger.com/profile/16650057587203469226noreply@blogger.comBlogger12125tag:blogger.com,1999:blog-4428473564097379725.post-79024833014560213072018-01-23T19:33:10.211+05:002018-01-23T19:33:10.211+05:00Очасти вы правы, формально пункта 4 нет, но фактич...Очасти вы правы, формально пункта 4 нет, но фактически он состоит из подпунктов 4.1 и 4.2.<br /><br />На здаровья!!11одинодинmorbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-37670793790787039442018-01-23T12:37:25.673+05:002018-01-23T12:37:25.673+05:00Теперь всё стало на свои места. Кстати пункта 4 не...Теперь всё стало на свои места. Кстати пункта 4 нет, идёт сразу 4.1!!<br />Сертификатов нет, хочу использовать только свои, очасти поэтому и возник вопрос.<br /><br />Спасиба большая!Anonymoushttps://www.blogger.com/profile/14275132330251186741noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-54307487971428049572018-01-22T19:22:02.060+05:002018-01-22T19:22:02.060+05:00Доброго времени года.
Понимаю, получилось запутан...Доброго времени года.<br /><br />Понимаю, получилось запутанно. Сам хотел переработать этот раздел, но так и не сподобился.<br /><br />Пункт 1 - это просто введение.<br /><br />Пункт 2 нужен только для пункта 4.1.<br /><br />Пункты 4.1 и 4.2 взаимозаменяемые.<br /><br />Если у вас уже есть сертификаты, тогда можно переходить к пункту 5.<br /><br />Пажаласта.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-21647982107391215362018-01-21T06:58:26.763+05:002018-01-21T06:58:26.763+05:00Добрые сутки, скажите пажаласта, пункт номер один ...Добрые сутки, скажите пажаласта, пункт номер один является заменой пункту под номером два? Я уже просто упоролся с этими сертификатами, ваша статья отличная, но не понимаю, без пункта номер один могу я идти дальше по списку? Меня эти первые два пункта сбивают с толку. 8-(Anonymoushttps://www.blogger.com/profile/14275132330251186741noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-81882583882898980552015-10-30T17:52:37.811+05:002015-10-30T17:52:37.811+05:00извините, описался добавить нужно в main.cfизвините, описался добавить нужно в main.cfAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-12400839222106790102015-10-30T17:49:46.636+05:002015-10-30T17:49:46.636+05:00Как показала практика. Если руководствоваться данн...Как показала практика. Если руководствоваться данной статьей, шифрование работает только в одну сторону то есть, на получение почты. Для отключения небезопасного sslv3. И возможности отправлять шифрованные сообщения, добавил в main.comf следующий текст:<br /># inbound<br />smtpd_tls_security_level = may<br />smtpd_tls_protocols=!SSLv2,!SSLv3<br />smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3<br /># outbound<br />smtp_tls_security_level = may<br />smtp_tls_protocols=!SSLv2,!SSLv3<br />smtp_tls_mandatory_protocols=!SSLv2,!SSLv3<br /><br />ссылка: http://serverfault.com/questions/669847/how-to-disable-sslv3-in-postfix-2-11Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-89091819001643679772015-10-13T20:45:53.415+05:002015-10-13T20:45:53.415+05:00А зачем вообще нужен TLS? Это аутентификация серве...А зачем вообще нужен TLS? Это аутентификация сервера и шифрование писем при передаче от сервера к серверу.<br /><br />Почтовый релей обычно используется для одной из целей:<br />1. резервирует основной сервер, принимая письма, когда основной сервер недоступен,<br />2. выполняет часть его работы, занимаясь приёмом снаружи и передачей их основному серверу,<br />3. выполняет часть его работы, занимаясь приемом писем от основного сервера и их передачей во внешний мир.<br /><br />Во всех этих случаях релей взаимодействует с внешними серверами, поэтому поддержка TLS на нём полезна. При передаче писем наружу он выступает TLS-клиентом (проверяет подлинность внешнего почтового сервера), а при приёме - TLS-сервером (удостоверяет свою подлинность перед внешними серверами). В обоих случаях как правило обмен письмами происходит по зашифрованному каналу. При этом на серверах письма обрабатываются в открытом виде.<br /><br />Для шифрования между адресатами, а не серверами, и аутентификации адресатов, а не серверов нужно использовать PGP/GPG. При этом, в зависимости от обстоятельств в которых состоялся обмен ключами, получается разный уровень аутентификации. Если обмен ключами произошёл при личной встрече, то с определённой степенью достоверности можно считать, что переписываешься именно с этим человеком. Если подпись была взята из публичного источника, то можно удостовериться лишь в том, что определённые письма написаны одним и тем же автором.<br /><br />Полной уверенности, конечно, PGP не даёт, т.к. паяльник в известном месте может творить чудеса - адресат может выдать и ключи и пароли. Тогда письма от его лица могут читать и писать посторонние люди.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-19348826454319587782015-10-13T08:17:48.779+05:002015-10-13T08:17:48.779+05:00а нужен ли TLS на сервере, если он является почтов...а нужен ли TLS на сервере, если он является почтовым релеем?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-6869544632976780702014-04-08T18:58:54.341+06:002014-04-08T18:58:54.341+06:00>Смысл в том что это разные хосты. и некоторые ...>Смысл в том что это разные хосты. и некоторые почтовые клиенты не будут принимать почту если хост один, а в сертификате указан другой.<br /><br />Если оба сервера, и POP3 и IMAP, доступны по одному и тому же IP и доменному имени, то смысл ускользает. Настраивать разные доменные имена для двух сервисов на одном и том же IP мне кажется нелогичным - от этого появляются только дополнительные хлопоты с записями в DNS и сертификатами.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-85461972995298398632014-04-07T15:39:31.235+06:002014-04-07T15:39:31.235+06:00, Например, можно задать отдельные сертификаты для...<i>, Например, можно задать отдельные сертификаты для POP3 и для IMAP (хотя не ясно, какой в этом может быть смысл)</i>,<br /><br />Смысл в том что это разные хосты. и некоторые почтовые клиенты не будут принимать почту если хост один, а в сертификате указан другой.Antonhttps://www.blogger.com/profile/17727790793815519591noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-8370149631644617592014-02-19T17:18:32.835+06:002014-02-19T17:18:32.835+06:00Спасибо, кэп. Я, вообще-то, написал об этом в заме...Спасибо, кэп. Я, вообще-то, написал об этом в заметке.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-52948258429840164322014-02-19T16:46:10.609+06:002014-02-19T16:46:10.609+06:00https://www.startssl.com/ дают бесплатные сертифик...https://www.startssl.com/ дают бесплатные сертификаты, которые проходят валидацию. :) Есть мнение, что это дело будет куда симпатичнее самоподписанного...hexkeyhttp://hexkey.orgnoreply@blogger.com