Re: SMTP, exim och stunnel

To: Carl-Fredrik Enell <fredrik@kyla.kiruna.se>
Cc: debian-user-swedish@lists.debian.org
Subject: Re: SMTP, exim och stunnel
From: Karl Dahlén <kthoren@home.se>
Date: Tue, 7 Sep 2004 21:42:54 +0200
Message-id: <[🔎] 20040907194253.GA3414@bird>
Mail-followup-to: Carl-Fredrik Enell <fredrik@kyla.kiruna.se>, debian-user-swedish@lists.debian.org
In-reply-to: <[🔎] 16701.60442.47695.635636@kyla.kiruna.se>
References: <[🔎] 16701.60442.47695.635636@kyla.kiruna.se>

On Tue, Sep 07, 2004 at 07:12:58PM +0200, Carl-Fredrik Enell wrote:
> Hej!
> Jag har en fråga som anknyter lite till dagens tidigare frågor på
> listan. Jag är ute och åker med min bärbara dator som kör exim,
> konfigurerad att använda jobbets mailserver som "smarthost".
> Servern vägrar dessvärre (eller dessbättre) att vidarebefordra mail
> från avsändare utanför den egna domänen.
> 
> Det finns som jag ser det tvä lösningar: att låta bli "smarthosten" eller
> forwardning av smtp-porten till denna via ssh eller stunnel.
> Jag skulle helst vilja få exim att göra det senare automatiskt då
> laptopen befinner sig i en extern domän.
> Har någon gjort något liknande?
> 
> Hälsningar
> Carl-Fredrik
> 

Hej!

Om du har möjlighet så försök få smtp servern att acceptera
användarverifiering via STARTTLS.

Stöd för STARTTLS finns i exim4 (Vet inte hur det med tidigare
versioner.)

Fördelar:

1) SSL för insynskydd.
2) Användarverifiering öppnar för vidarebefodring.
3) Funkar automatiskt på klienten
(Kräver bara att se till att STARTTLS och användarverifiering används av exim)

Fungerar dessutom med de flesta moderna mailprogram.

Om du inte kan få till användarverifiering så funkar ju stunnel. Men här
gäller det att se upp.

1) Skapa både server och klient certifikat. (För att sätta upp tvåvägs ssl.)

2) Sätt upp stunnel till att lyssna på en lämplig port(T.ex 2025). (Kräver en
   server på huvuddomänen.) Och forwarda till port 25 på smtp servern.

3) Ställ in stunnel att kräva klientcerifikatverifiering.

4) På klienten ställ in exim att använda stunnel porten på smarthosten
   samt att köra ssl direkt (--tls-on-connect)! (Glöm inte klient certifikatet.)

Klient certifikat verifierning används för att inte öppna ett hål in
till en öppen proxy.

Fördelar:
* Inga ändringar på smtp servern.
* Eftersom inte port 25 används så funkar det ifrån bredbands nät där
  port 25 är blockerad. (T.ex Telia)

Nackdelar:
* Kräver specialinställingar på klienten.
* Klientcertifikat kan vara trassligt.

På jobbet så använder vi tre varianter på det här temat.

1) SSL stöd på port 25 (Användarverifiering är bara tillåtet OM ssl
   används).
2) Samma konfiguration men port 27 för att komma runt problemet med
   blockering av port 25 hos vissa ISPer.
3) En stunnel som lyssnar på port 28 och forwardar till smtp servern.
   Kräver även användarverifiering. (Ingen tvåvägs ssl)

Den sista konfigurationen är bara nödvändig därför Outlook2000 kör inte
STARTTLS kommandot om man använder en annan port än 25. Den kör ssl
direkt ifrån start.
DVS. konfiguration 2 funkar inte för den kräver STARTTLS....

Hoppas att det här hjälper lite!

/Karl
-- 
                          ###
                         (o o)
+------------------+--o00-(_)-00o----------------------------------+
|[Karl Dahlén]    #|# () ascii ribbon campaign - against html mail |
|[karl@jendah.se] #|# /\                       - & vcards          |
+------------------+-----------------------------------------------+

Reply to:

References:
- SMTP, exim och stunnel
  - From: Carl-Fredrik Enell <fredrik@kyla.kiruna.se>

Prev by Date: Re: Lilo och dualboot
Next by Date: Vad gäller angående överskrivning av filer vid uppgradering?
Previous by thread: SMTP, exim och stunnel
Next by thread: Vad gäller angående överskrivning av filer vid uppgradering?
Index(es):
- Date
- Thread