Forskel mellem versioner af "Erfaringer med brug af sendmail med TLS"
KS (diskussion | bidrag) (Oprettede siden med 'Leif Andersen skriver: Jeg fandt hurtigt min vejledning og det ser ud til at jeg simpelthen er gået direkte til kilden, idet min rod-link er: http://www.sendmail.com/sm/o...') |
FlikFlak (diskussion | bidrag) |
||
| (2 mellemliggende versioner af 2 brugere ikke vist) | |||
| Linje 1: | Linje 1: | ||
Leif Andersen skriver: | Leif Andersen skriver: | ||
| − | Jeg | + | Jeg har i nogen år nu anvendt OCES (de gamle, filbaserede certifikater) til |
| − | + | at signere e-mails og beskytte adgang til min sendmail server via TLS. | |
| + | |||
| + | '''Bemærk''' Jeg har konstateret, at det ikke længere virker, efter jeg flyttede | ||
| + | til en Fedora 19 server med SELinux aktiveret. Følgende er derfor kun at historisk | ||
| + | historisk interesse. Den "gamle" server kørte Fedora 15. | ||
| + | |||
| + | Som udgangspunkt fulgte jeg vejledningen fra Sendmail her: | ||
http://www.sendmail.com/sm/open_source/docs/m4/starttls.html | http://www.sendmail.com/sm/open_source/docs/m4/starttls.html | ||
| Linje 22: | Linje 28: | ||
ikke er mailservere... | ikke er mailservere... | ||
| − | Men når jeg sender fra min e-mail konto | + | Men når jeg sender fra min e-mail konto xxxxxxxx@blanet.dk (den |
seriøse...) ser headeren således ud: | seriøse...) ser headeren således ud: | ||
| − | Return-Path: < | + | Return-Path: <xxxxxxxx@blanet.dk> |
| − | X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on sirah.blanet.net | + | X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on sirah.blanet.net |
| − | X-Spam-Level: | + | X-Spam-Level: |
| − | X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00 | + | X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00 |
autolearn=ham version=3.3.2 | autolearn=ham version=3.3.2 | ||
| − | Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47]) | + | Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47]) |
(authenticated bits=0) | (authenticated bits=0) | ||
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636 | by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636 | ||
| Linje 36: | Linje 42: | ||
verify=OK) | verify=OK) | ||
for <leander@blanet.dk>; Wed, 23 Oct 2013 20:48:37 +0200 | for <leander@blanet.dk>; Wed, 23 Oct 2013 20:48:37 +0200 | ||
| − | Message-ID: <52681ACE.2020806@blanet.dk> | + | Message-ID: <52681ACE.2020806@blanet.dk> |
| − | Date: Wed, 23 Oct 2013 20:51:58 +0200 | + | Date: Wed, 23 Oct 2013 20:51:58 +0200 |
| − | From: Leif Andersen < | + | From: Leif Andersen <xxxxxxxx@blanet.dk> |
| − | Organization: BLA-net v. Bodil og Leif Andersen | + | Organization: BLA-net v. Bodil og Leif Andersen |
| − | User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20130923 | + | User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20130923 |
| − | Thunderbird/17.0.9 | + | Thunderbird/17.0.9 |
| − | MIME-Version: 1.0 | + | MIME-Version: 1.0 |
| − | To: "Leif Andersen (at Janeway)" <leander@blanet.dk> | + | To: "Leif Andersen (at Janeway)" <leander@blanet.dk> |
| − | Subject: En test for at se header info... | + | Subject: En test for at se header info... |
| − | Content-Type: multipart/signed; protocol="application/pkcs7-signature"; | + | Content-Type: multipart/signed; protocol="application/pkcs7-signature"; |
| − | micalg=sha1; boundary="------------ms030802000600050703080403" | + | micalg=sha1; boundary="------------ms030802000600050703080403" |
| − | Nå ja - | + | Nå ja - den sidste pkcs7-signature er signal om signatur på selve |
mail'en, leveret fra Thunderbird. Jeg bruger mit OCES certifikat (mit | mail'en, leveret fra Thunderbird. Jeg bruger mit OCES certifikat (mit | ||
medarbejder-certifikat fra Nemid) til både at signere e-mail og til at | medarbejder-certifikat fra Nemid) til både at signere e-mail og til at | ||
| − | åbne op for TLS i Sendmail for Thunderbird. | + | åbne op for TLS i Sendmail for Thunderbird. TLS vises i linien: |
| − | Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47]) | + | Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47]) |
(authenticated bits=0) | (authenticated bits=0) | ||
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636 | by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636 | ||
| − | (version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256 | + | (version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256... |
| + | |||
| + | '''Note''' Det er mit "gamle" NemID certifikat (OCES I) jeg har brugt. Det udløber først i 2014. | ||
| + | |||
| + | Jeg har endnu ikke afprøvet OCES II! Det vil nok også give problemer, fordi løsningen med nøglefil kræver | ||
| + | speciel hardware. | ||
Nuværende version fra 18. mar 2014, 13:57
Leif Andersen skriver:
Jeg har i nogen år nu anvendt OCES (de gamle, filbaserede certifikater) til at signere e-mails og beskytte adgang til min sendmail server via TLS.
Bemærk Jeg har konstateret, at det ikke længere virker, efter jeg flyttede til en Fedora 19 server med SELinux aktiveret. Følgende er derfor kun at historisk historisk interesse. Den "gamle" server kørte Fedora 15.
Som udgangspunkt fulgte jeg vejledningen fra Sendmail her:
http://www.sendmail.com/sm/open_source/docs/m4/starttls.html
Det viser sig så, at at for Fedora (når man har valgt Sendmail som MTA (eller afinstalleret Postfix, som de påstår er default)) så er de nævnte stier til certs og pem i m4-filen og skal bare udkommenteres - det samme gælder resten, der nævnt.
Der er "further reading" ude til højre.
Men jeg skal alligevel have rekonfigureret min sendmail, så jeg skal lige gennemløbe step igennem igen, så jeg kan lave en sammenfatning på dansk.
Forudsætningen for dette er naturligvis, at man selv hoster MTA. Det er ikke uden problemer - jeg bliver blacklisted en gang imellem, fordi min IP-adresse ligger i et interval, hvor Fullrate eller Telenor påstår, der ikke er mailservere...
Men når jeg sender fra min e-mail konto xxxxxxxx@blanet.dk (den seriøse...) ser headeren således ud:
Return-Path: <xxxxxxxx@blanet.dk>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on sirah.blanet.net
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00
autolearn=ham version=3.3.2
Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47])
(authenticated bits=0)
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636
(version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256
verify=OK)
for <leander@blanet.dk>; Wed, 23 Oct 2013 20:48:37 +0200
Message-ID: <52681ACE.2020806@blanet.dk>
Date: Wed, 23 Oct 2013 20:51:58 +0200
From: Leif Andersen <xxxxxxxx@blanet.dk>
Organization: BLA-net v. Bodil og Leif Andersen
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20130923
Thunderbird/17.0.9
MIME-Version: 1.0
To: "Leif Andersen (at Janeway)" <leander@blanet.dk>
Subject: En test for at se header info...
Content-Type: multipart/signed; protocol="application/pkcs7-signature";
micalg=sha1; boundary="------------ms030802000600050703080403"
Nå ja - den sidste pkcs7-signature er signal om signatur på selve mail'en, leveret fra Thunderbird. Jeg bruger mit OCES certifikat (mit medarbejder-certifikat fra Nemid) til både at signere e-mail og til at åbne op for TLS i Sendmail for Thunderbird. TLS vises i linien:
Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47])
(authenticated bits=0)
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636
(version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256...
Note Det er mit "gamle" NemID certifikat (OCES I) jeg har brugt. Det udløber først i 2014.
Jeg har endnu ikke afprøvet OCES II! Det vil nok også give problemer, fordi løsningen med nøglefil kræver speciel hardware.
