Toon posts:

[postfix] tls forceren op basis van ip?

Pagina: 1
Acties:

woensdag 8 maart 2006 14:34

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Hoi,

Ik draai op Gentoo Linux een Postfix server (2.2.5) en die heeft 2 taken:

mail versturen voor een forum dat op localhost draait (en meer van dat soort prut)
mail versturen voor users die rondlopen met een mailclient (niet webmail dus).


Ik forceer momenteel TLS op al mijn verbindingen:
code:
1
2
3
4
5
6
7
8
9

smtp_tls_note_starttls_offer = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/newreq.pem
smtpd_tls_cert_file = /etc/postfix/newcert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s


echter er draait ook een phpBB board op die box.
Dat ondersteunt geen TLS, en er is ook geen MOD voor.


Om die nu zelf in elkaar te timmeren: Nee dank je.

Is het mogelijk (en hoe ;) ) om vanaf localhost non-tls connecties te accepteren, maar voor de rest van de verbindingen TLS te forceren?


Ik heb gegoogled, en het postfix boek van O Reilly nageslagen maar ik zie nergens een truc ervoor :(

Zaram module kopen voor je glasvezelaansluiting?

donderdag 9 maart 2006 19:55

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
*bump*

Zaram module kopen voor je glasvezelaansluiting?

zaterdag 11 maart 2006 20:25

Acties:

Verwijderd

Mja hier ben ik eigenlijk ook wel benieuwd naar.
Niemand die iets weet?

zondag 12 maart 2006 13:09

Acties:

Verwijderd

Dit is wel mogelijk, zie hiervoor de optie "smtp_tls_per_site" van Postfix. Hiermee kun je in een aparte file definieren welke peer (communicatiepartner) op welke manier e-mail mag versturen:

MUST_NOPEERMATCH
TLS vereist, anders mail niet versturen. Certificaat van andere partij hoeft niet geverifieerd te worden

MUST
TLS vereist, anders mail niet versturen. Certificaat van andere partij moet geldig zijn, anders wordt mail niet verzonden.

MAY
TLS niet vereist, maar wel gebruiken als de andere partij dat ook ondersteunt

NONE
nooit TLS gebruiken

zondag 12 maart 2006 14:33

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
thanks.

Ga zo eens dat uitvlooien :)

Zaram module kopen voor je glasvezelaansluiting?

donderdag 16 maart 2006 21:40

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Hoi mensen

Sorry voor de bump, ik heb dit gelezen:

http://www.postfix.org/TLS_README.html#client_tls_per_site

Maar ik snap niet hoe ik dit nou moet implementeren.

Natuurlijk heb ik zelf eerst wat geprobeerd:
smtp_tls_per_site=/etc/postfix/stmp_tls_per_site.cf

en daarin :

localhost NONE


Echter gaat mijn mailserver daar nogal van flippen.
Uit de logs zie ik echter niet waarom het misgaat :(

Zaram module kopen voor je glasvezelaansluiting?

donderdag 16 maart 2006 21:46

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
fixed.

Was hash: vergeten.

heel dom.

Zaram module kopen voor je glasvezelaansluiting?

donderdag 16 maart 2006 21:55

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
niet dus :(

Ok dan maar even wat hulp.

Ik probeer vanaf localhost met phpbb (zonder TLS) een mail te versturen.
Error:
code:
1
2
3
4
5
6

Ran into problems sending Mail. Response: 538 Encryption required for requested authentication mechanism

DEBUG MODE

Line : 126
File : smtp.php


Reden is dus dat postfix toch authenticatie blijft eisen en TLS. (vermoed ik dan).
Mijn main.cf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
unknown_local_recipient_reject_code = 550
debug_peer_level = 2

debugger_command =
        PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
        xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = /usr/share/doc/postfix-2.2.5/html
manpage_directory = /usr/share/man
sample_directory = /etc/postfix
readme_directory = /usr/share/doc/postfix-2.2.5/readme
home_mailbox = .maildir/
mynetworks = /etc/postfix/networks.cf
masquerade_domains = X.nl, Y.nl
local_destination_concurrency_limit = 2
default_destination_concurrency_limit = 10
smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain =
smtp_tls_note_starttls_offer = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/newreq.pem
smtpd_tls_cert_file = /etc/postfix/newcert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unauth_destination
alias_maps = mysql:/etc/postfix/mysql-aliases.cf
relocated_maps = mysql:/etc/postfix/mysql-relocated.cf
local_transport = local
local_recipient_maps = $alias_maps $virtual_mailbox_maps unix:passwd.byname
virtual_transport = virtual
virtual_mailbox_domains = X.nl, Y.nl, Z.nl
virtual_minimum_uid = 1000
virtual_gid_maps = static:1003
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf
virtual_uid_maps = static:1003
virtual_mailbox_base = /
#virtual_mailbox_limit =

smtp_tls_note_starttls_offer = yes
#smtp_tls_per_site = tls_per_site.cf

smtpd_client_connection_rate_limit = 100
#smtpd_enforce_tls = yes
smtp_tls_per_site = hash:/etc/postfix/tls_per_site


smtp_use_tls = yes


Mijn tls_per_site:
code:
1
2

dionysos postfix # cat tls_per_site
localhost       NONE


Verder worden alle domeinen uit een DB gehaald enzo, maar dat lijkt me niet nuttig verder vermelden.
Heeft iemand een idee waar het fout gaat?

Zaram module kopen voor je glasvezelaansluiting?

zaterdag 18 maart 2006 22:33

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Ik heb de fout gevonden.
Vanavond leip ik nog met die config te k*tten, en had ik deze post gemaakt:
ik kom er net achter dat met deze setup postfix vannacht alle mail heeft gequeued.
Mijn conf staat hierboven, met als enige verschil dat ik het tls_per_site bestand van een .cf heb voorzien (ook in main.cf aangepast).
[...]
Google weet het niet, en de manual lijkt me ook niet.
Ik heb het opgelost.
Ik heb een bestand gemaakt zonder de naam db, maar cf.
En toen postmap eroverheen geschopt. (even het O reilly boek goed gelezen),


Iig bedankt voor de moeite.
Hij heeft btw de queue keurig leeg gemaakt (en nee zonder postsuper -D ALL).

Zaram module kopen voor je glasvezelaansluiting?

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq