31-08-04 10:07
Kako uključiti enkripciju SMTP protokola
piše SAŠA DRNJEVIĆ
Ako na Vašem serveru imate instaliran CARNet Debian 2.1 (Sarge), uz malo truda možete dodati sendmailu novu opciju koja omogućuje potpunu enkripciju SMTP sesija i po potrebi autentikaciju korisnika putem certifikata. Zapravo sve što trebate je već instalirano, ali nije aktivirano.
1) Pozicioniramo se u TLS direktorij:
$ cd /etc/mail/tls
2) osvježimo datoteku "starttls.m4" zadnjom - ispravnom verzijom:
$ cp /usr/share/sendmail/examples/tls/starttls.m4 .
3) Dohvatimo i skriptu za kreiranje certifikata i ključeva:
$ cp /usr/share/sendmail/update_tls .
4) U skripti "update_tls" zakomentiramo sljedeću liniju koja se ponavlja
dva puta da omogućimo interaktivni mod kreiranja, certifikata i ključeva,
tako da izgledaju ovako:
# </etc/mail/tls/no_prompt >/dev/null 2>&1;
# </etc/mail/tls/no_prompt >/dev/null 2>&1;
5) Obrišemo stare certifikate i ključeve:
-sendmail-client.cfg
-sendmail-client.crt
-sendmail-client.csr
-sendmail-common.key
-sendmail-common.prm
-sendmail-server.cfg
-sendmail-server.crt
-sendmail-server.csr
-no_prompt
6) Kad smo to obrisali u /etc/mail/tls direktoriju nam je trebalo ostati:
-starttls.m4
-update_tls
7) Pozicioniramo se u mail direktorij:
$ cd /etc/mail
8) Za svaki slučaj napravimo kopije sendmail.mc i submit.mc datoteka:
$ cp sendmail.mc sendmail.mc.backup
$ cp submit.mc submit.mc.backup
9) U datoteke sendmail.mc i submit.mc dodajte sljedeću liniju bez
prvih i zadnjih navodnika:
"include(`/etc/mail/tls/starttls.m4')dnl"
10) U /etc/ssl/certs direktoriju obrišemo nepotrebne soft linkove
(nakon 5. koraka su ionako pogrešni) koji pokazuju na:
-> /etc/mail/tls/sendmail-client.crt
-> /etc/mail/tls/sendmail-server.crt
11) Sada interaktivno pomoću prepravljene skripte "update_tls"
kreiramo certifikate i ključeve:
$ /etc/mail/tls/update_tls
12) Slijedi primjer ispunjavanja polja, koji trebate prilagoditi svom poslužitelju(tj. umjesto Srce upišite svoju ustanovu, umjesto Zagreb svoj grad itd.):
SERVER:
--------------------------------------------------------------------
1. Country Name (2 letter code) []:HR
2. State or Province Name (full name) []:Croatia
3. Locality Name (eg, city) []:Zagreb
4. Organization Name (eg, company) []:Srce
5. Organizational Unit Name (eg, section) []:Server
6. Common Name (MUST==FQDN) []:ime.domena.hr
7. Email Address (eg, name@FQDN) []:postmaster@ime.domena.hr
--------------------------------------------------------------------
KLIJENT:
--------------------------------------------------------------------
1. Country Name (2 letter code) []:HR
2. State or Province Name (full name) []:Croatia
3. Locality Name (eg, city) []:Zagreb
4. Organization Name (eg, company) []:Sendmail]:Srce
5. Organizational Unit Name (eg, section) []:Client
6. Common Name (MUST==FQDN) []:ime.domena.hr
7. Email Address (eg, name@FQDN) []:postmaster@ime.domena.hr
--------------------------------------------------------------------
13) Sada biste u direktoriju /etc/mail/tls trebali imati ove datoteke:
-no_prompt
-sendmail-client.cfg
-sendmail-client.crt
-sendmail-client.csr
-sendmail-common.key
-sendmail-common.prm
-sendmail-server.cfg
-sendmail-server.crt
-sendmail-server.csr
-starttls.m4
-update_tls
14) U /etc/ssl/certs direktoriju osim ostalih datoteka trebali biste imati
i dva nova linka (slijedi "SLIČAN" primjer):
19ec16f3.0 -> /etc/mail/tls/sendmail-client.crt
59192de3.0 -> /etc/mail/tls/sendmail-server.crt
15) Ako u prethodnim koracima niste pogriješili, sve je spremno za rekonfiguraciju sendmaila, što je na Debianu izrazito jednostavno. Samo otkucajte sljedeću naredbu,
$ sendmailconfig
Configure sendmail with the existing /etc/mail/sendmail.conf? [Y]
Reading configuration from /etc/mail/sendmail.conf.
Validating configuration.
Writing configuration to /etc/mail/sendmail.conf.
Writing /etc/cron.d/sendmail.
Configure sendmail with the existing /etc/mail/sendmail.mc? [Y]
Updating sendmail environment ...
Checking for installed MDAs...
Creating/Updating SSL(for TLS) information
You already have sendmail certificates
Checking {sendmail,submit}.mc and related databases...
Creating /etc/mail/databases...
Creating /etc/mail/databases...
Creating /etc/mail/Makefile...
Reading configuration from /etc/mail/sendmail.conf.
Validating configuration.
Writing configuration to /etc/mail/sendmail.conf.
Writing /etc/cron.d/sendmail.
Creating /etc/mail/sendmail.cf...
Creating /etc/mail/submit.cf...
Updating /etc/mail/aliases...
/etc/mail/aliases: 7 aliases, longest 87 bytes, 186 bytes total
Reload the running sendmail now with the new configuration? [Y]
Reloading sendmail ...
16) Provjerite da li se sendmail podigao:
$ ps -ef |grep sendmail
root 14467 1 0 15:10 ? 00:00:00 sendmail: MTA: accepting connections
17) Pregledajte kraj mail loga i kao zadnju liniju biste trebali ugledati:
$ tail /var/log/mail/mail.log
Aug 20 15:10:11 stroj sm-mta[14467]: starting daemon (8.12.11): SMTP+queueing@00:10:00
18) Kao test možete poslati poruku iz naredbene linije s uključenom verbose opcijom:
mailx -v -s "TEST TLS-a" ime@domena.hr < /etc/debian_version
19) U outputu gornje naredbe trebali biste između ostalog vidjeti:
>>> STARTTLS 220 2.0.0 Ready to start TLS
20) U zaglavljima poruka poslanih s Vašeg poslužitelja od sada će se pojavljivati i linija:
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
Ono "verify=NOT" znači da SMTP server od klijenata ne traži certifikat, jer je ta opcija (koja može poslužiti npr. za relay sa stranih adresa, na pr. za vaše korisnike koji su na putu) isključena zbog nesposobnosti MS Outlook-a da je ispravno koristi.
Za one koji žele učiti, više informacija na tu temu možete naći na:
http://www.ietf.org/rfc/rfc2487.txt
http://www.openssl.org/
|
