Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

31-08-04 10:07
Kako uključiti enkripciju SMTP protokola

piše SAŠA DRNJEVIĆ

Ako na Vašem serveru imate instaliran CARNet Debian 2.1 (Sarge), uz malo truda možete dodati sendmailu novu opciju koja omogućuje potpunu enkripciju SMTP sesija i po potrebi autentikaciju korisnika putem certifikata. Zapravo sve što trebate je već instalirano, ali nije aktivirano.

1)  Pozicioniramo se u TLS direktorij:

    $ cd /etc/mail/tls

2)  osvježimo datoteku "starttls.m4" zadnjom - ispravnom verzijom:

    $ cp /usr/share/sendmail/examples/tls/starttls.m4 .

3)  Dohvatimo i skriptu za kreiranje certifikata i ključeva:

    $ cp /usr/share/sendmail/update_tls .

4)  U skripti "update_tls" zakomentiramo sljedeću liniju koja se ponavlja
    dva puta da omogućimo interaktivni mod kreiranja, certifikata i ključeva,
    tako da izgledaju ovako:

    #       </etc/mail/tls/no_prompt >/dev/null 2>&1;

    #       </etc/mail/tls/no_prompt >/dev/null 2>&1;

5)  Obrišemo stare certifikate i ključeve:

    -sendmail-client.cfg
    -sendmail-client.crt
    -sendmail-client.csr
    -sendmail-common.key
    -sendmail-common.prm
    -sendmail-server.cfg
    -sendmail-server.crt
    -sendmail-server.csr
    -no_prompt

6)  Kad smo to obrisali u /etc/mail/tls direktoriju nam je trebalo ostati:

   -starttls.m4
   -update_tls

7)  Pozicioniramo se u mail direktorij:

    $ cd /etc/mail

8)  Za svaki slučaj napravimo kopije sendmail.mc i submit.mc datoteka:

    $ cp sendmail.mc sendmail.mc.backup
    $ cp submit.mc submit.mc.backup


9)  U datoteke sendmail.mc i submit.mc dodajte sljedeću liniju bez
    prvih i zadnjih navodnika:

    "include(`/etc/mail/tls/starttls.m4')dnl"

10) U /etc/ssl/certs direktoriju obrišemo nepotrebne soft linkove
    (nakon 5. koraka su ionako pogrešni) koji pokazuju na:

    ->  /etc/mail/tls/sendmail-client.crt
    ->  /etc/mail/tls/sendmail-server.crt

11) Sada interaktivno pomoću prepravljene skripte "update_tls"
    kreiramo certifikate i ključeve:

    $ /etc/mail/tls/update_tls

12) Slijedi primjer ispunjavanja polja, koji trebate prilagoditi svom poslužitelju(tj. umjesto Srce upišite svoju ustanovu, umjesto Zagreb svoj grad itd.):

SERVER:
--------------------------------------------------------------------
1. Country Name               (2 letter code) []:HR
2. State or Province Name     (full name)     []:Croatia
3. Locality Name              (eg, city)      []:Zagreb
4. Organization Name          (eg, company)   []:Srce
5. Organizational Unit Name   (eg, section)   []:Server
6. Common Name                (MUST==FQDN)    []:ime.domena.hr
7. Email Address              (eg, name@FQDN) []:postmaster@ime.domena.hr
--------------------------------------------------------------------

KLIJENT:
--------------------------------------------------------------------
1. Country Name               (2 letter code) []:HR
2. State or Province Name     (full name)     []:Croatia
3. Locality Name              (eg, city)      []:Zagreb
4. Organization Name          (eg, company)   []:Sendmail]:Srce
5. Organizational Unit Name   (eg, section)   []:Client
6. Common Name                (MUST==FQDN)    []:ime.domena.hr
7. Email Address              (eg, name@FQDN) []:postmaster@ime.domena.hr
--------------------------------------------------------------------

13) Sada biste u direktoriju /etc/mail/tls trebali imati ove datoteke:

    -no_prompt
    -sendmail-client.cfg
    -sendmail-client.crt
    -sendmail-client.csr
    -sendmail-common.key
    -sendmail-common.prm
    -sendmail-server.cfg
    -sendmail-server.crt
    -sendmail-server.csr
    -starttls.m4
    -update_tls

14) U /etc/ssl/certs direktoriju osim ostalih datoteka trebali biste imati
    i dva nova linka (slijedi "SLIČAN" primjer):

    19ec16f3.0 -> /etc/mail/tls/sendmail-client.crt
    59192de3.0 -> /etc/mail/tls/sendmail-server.crt


15) Ako u prethodnim koracima niste pogriješili, sve je spremno za rekonfiguraciju sendmaila,  što je na Debianu izrazito jednostavno. Samo otkucajte sljedeću naredbu,


    $ sendmailconfig

Configure sendmail with the existing /etc/mail/sendmail.conf? [Y]
Reading configuration from /etc/mail/sendmail.conf.
Validating configuration.
Writing configuration to /etc/mail/sendmail.conf.
Writing /etc/cron.d/sendmail.

Configure sendmail with the existing /etc/mail/sendmail.mc? [Y]

Updating sendmail environment ...
Checking for installed MDAs...
Creating/Updating SSL(for TLS) information
You already have sendmail certificates
Checking {sendmail,submit}.mc and related databases...
Creating /etc/mail/databases...
Creating /etc/mail/databases...
Creating /etc/mail/Makefile...
Reading configuration from /etc/mail/sendmail.conf.
Validating configuration.
Writing configuration to /etc/mail/sendmail.conf.
Writing /etc/cron.d/sendmail.
Creating /etc/mail/sendmail.cf...
Creating /etc/mail/submit.cf...
Updating /etc/mail/aliases...
/etc/mail/aliases: 7 aliases, longest 87 bytes, 186 bytes total

Reload the running sendmail now with the new configuration? [Y]
Reloading sendmail ...


16) Provjerite da li se sendmail podigao:

    $ ps -ef |grep sendmail
 root 14467  1  0 15:10 ?    00:00:00 sendmail: MTA: accepting connections     


17) Pregledajte kraj mail loga i kao zadnju liniju biste trebali ugledati:

    $ tail /var/log/mail/mail.log

Aug 20 15:10:11 stroj sm-mta[14467]: starting daemon (8.12.11): SMTP+queueing@00:10:00

18) Kao test možete poslati poruku iz naredbene linije s uključenom verbose opcijom:

mailx -v -s "TEST TLS-a" ime@domena.hr < /etc/debian_version

19) U outputu gornje naredbe trebali biste između ostalog vidjeti:

>>> STARTTLS    220 2.0.0 Ready to start TLS

 

20) U zaglavljima poruka poslanih s Vašeg poslužitelja od sada će se pojavljivati i linija:

(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)


Ono "verify=NOT" znači da SMTP server od klijenata ne traži certifikat, jer je ta opcija (koja može poslužiti npr. za relay sa stranih adresa, na pr. za vaše korisnike koji su na putu) isključena zbog nesposobnosti MS Outlook-a da je ispravno koristi.


Za one koji žele učiti, više informacija na tu temu možete naći na:

    http://www.ietf.org/rfc/rfc2487.txt
    http://www.openssl.org/





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr