Toon posts:

Postfix, paar vraagjes

Pagina: 1
Acties:

woensdag 29 december 2010 16:28

Acties:
  • 0 Henk 'm!
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
Ik heb een spamfilter ingericht inkomende en uitgaande E-mail voor enkele domeinen. Na filtering wordt alles doorgestuurd naar een MTA (hMailserver)

Het filter is gebasseerd op de deze tutorial (met een zooitje aanpassingen)

In princiepe werkt alles goed maar ik zit nog met 2 vraagjes

* Relay van thuisgebruikers
Ik relay E-mail van enkele thuisgebruikers. Dit wordt toegestaan op basis van IP of via SASL authenticatie.
Om te voorkomen dat het eigen spamfilter de E-mail herkent als SPAM en om de privacy van de gebruikers te waarborgen verander ik de Recieved header.
Nu zat ik te twijfelen, Recieved header anonimiseren (ip en hostname veranderen naar 127.0.0.1, spamfilter.domein.nl) of de Recieved header volledig verwijderen.

Wat heeft de voorkeur?

* TLS
Om TLS te ondersteunen moet ik een certificaat aanschaffen. Moet dit certificaat overeenkomen met de reverse DNS en EHLO van de mailserver (spamfilter.domein.nl) of moet dit overeenkomen met de DNS naam via welk de server wordt aangeroepen? (smtp.domein.nl of mail.domein.nl of smtp.domein2.nl e.d.) Dat laatste zou behoorlijk kostbaar worden.

woensdag 29 december 2010 16:32

Acties:
  • 0 Henk 'm!
  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 17:23

Jaap-Jan

Dat laatste. Dus je kunt het beste geen subdomeinen aanmaken als dat niet noodzakelijk is. En voor zover ik kan zien kun je gewoon de 'Received'- header droppen. :)

[ Voor 27% gewijzigd door Jaap-Jan op 29-12-2010 16:38 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

woensdag 29 december 2010 17:04

Acties:
  • 0 Henk 'm!
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
Jaap-Jan schreef op woensdag 29 december 2010 @ 16:32:
Dat laatste. Dus je kunt het beste geen subdomeinen aanmaken als dat niet noodzakelijk is. En voor zover ik kan zien kun je gewoon de 'Received'- header droppen. :)
Probleem is dat er momenteel gebruik wordt gemaakt van 2 smtp servers waarvan met allebei wel wat mis is. Sommige mensen gebruiken de 1, andere de ander. Dan moet ik dus even goed gaan kijken welke DNS naam we aan het spamfilter gaan toekennen.

woensdag 5 januari 2011 10:37

Acties:
  • 0 Henk 'm!
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
Ik heb besloten gewoon iedereen op de hoogte te stellen dat er mogelijk iets veranderd moet worden in hun mail instellingen, dan kies ik netjes 1 domein naam. Zit ik nog met de volgende vraag.

Ik heb nu smtp.domein.nl, ik zou graag de dns naam voor inkomende verbindingen anders willen hebben. Wat zijn hiervan de gevolgen? Stel:
Ik neem smtp.domein.nl en mx.domein.nl. In je mailsoftware stel je smtp.domein.nl in en als MX records mx.domein.nl. Moet ik dan een SSL certificaat aanvragen voor mx.domein.nl? (Wordt er überhaupt SSL of TLS gebruikt voor inkomende SMTP verbindingen?
Welk adres is handig de mailserver zich mee te laten identificeren en waar moet het reverse DNS adres op staan?

woensdag 5 januari 2011 10:49

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Voor de mailservers die ik beheer (fastline.no), heb ik gewoon een wildcard certificaat voor *.fastline.no. De mailservers zijn geloadbalanced achter een firewall en EHLO'en gewoon met hun eigen hostname, welke gelijk is aan de reverse DNS.
Op zich is een wildcard certificaat handig, maar de enige eis is eigenlijk dat je mailserver een certificaat heeft die geldig is voor de hostname waar je client mee verbindt. Ik heb destijds gekozen voor een wildcard omdat ik een redelijk aantal servers had waar SSL opgezet moest worden, en dan is een wildcard al snel goedkoper dan voor elke server losse certificaten kopen, al helemaal als je dat doet bij een SSL-boer die geen losse licenties per certificaat vereist zoals Verisign dat doet.

woensdag 5 januari 2011 19:09

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

offtopic:
Waar heb jij je wildecard cert dan gescoord? Zit ook wel over zoiets te denken :).

i3 + moederbord + geheugen kopen?

woensdag 5 januari 2011 20:22

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

DigiCert, zijn een stuk goedkoper dan Verisign, bieden veel meer opties, en belangrijker nog: ze reageren veel sneller.

donderdag 6 januari 2011 11:52

Acties:
  • 0 Henk 'm!
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
Zo'n wildcard certificaat is rond de $500 per jaar, ik registreer nu SSL certificaten voor €25 per jaar.

Ik heb een methode gevonden om postfix een andere ehlo naam en certificaat per ip adres te laten gebruiken dus dat is geen issue meer. Zit ik nog wel met de vraag of het nodig is voor de mx kant een ssl certificaat te hebben.

Wordt dit gebruikt door mailservers onderling? (en zo niet is dit configureerbaar want het zou wel prettig zijn om zo veel mogelijk verkeer encrypted te laten verlopen.

donderdag 6 januari 2011 11:55

Acties:
  • 0 Henk 'm!
  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 17:23

Jaap-Jan

Nee, mailservers onderling gebruiken meestal plain SMTP, zonder SSL versleuteling.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

donderdag 6 januari 2011 22:28

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Joolee schreef op donderdag 06 januari 2011 @ 11:52:
Zo'n wildcard certificaat is rond de $500 per jaar, ik registreer nu SSL certificaten voor €25 per jaar.

Ik heb een methode gevonden om postfix een andere ehlo naam en certificaat per ip adres te laten gebruiken dus dat is geen issue meer. Zit ik nog wel met de vraag of het nodig is voor de mx kant een ssl certificaat te hebben.

Wordt dit gebruikt door mailservers onderling? (en zo niet is dit configureerbaar want het zou wel prettig zijn om zo veel mogelijk verkeer encrypted te laten verlopen.
Mja, Fastline is DigiCert reseller, dus daar gaat nog wat korting af. Zo'n wildcard is best handig als je tig servers en services hebben die onder hetzelfde domein worden aangesproken. Ik gebruik dat certificaat op dit moment op 6 webservers voor FTP/SSL, op 2 mailfrontends, 2 mailbackends, de webmail en de phpmyadmin/phppgadmin omgevingen. Voordeel is dat ik eens per zoveel jaar de hele zooi maar hoef te vervangen, en niet per hostname hoef te kijken wanneer dat certificaat afloopt.

donderdag 6 januari 2011 23:18

Acties:
  • 0 Henk 'm!
  • silentsnake
  • Registratie: September 2003
  • Laatst online: 04-10 08:03

silentsnake

Jaap-Jan schreef op donderdag 06 januari 2011 @ 11:55:
Nee, mailservers onderling gebruiken meestal plain SMTP, zonder SSL versleuteling.
Als ik naar een mailserver connect, een EHLO commando geeft en de server een STARTTLS optie teruggeeft kan ik prima een STARTTLS commando geven om onderling mail te versturen. Postfix doet dit standaard. Als een STARTTLS commando aangeboden wordt zal Postfix ook een TLS verbinding opbouwen, of althans proberen.

Overgens kan je ook een self-signed certificate nemen hoor, technisch is er geen verschil. Ik beheer een internet relay omgeving voor 2500 users en daar hebben we wel geldige certificaten, maar ik zie genoeg TLS connecties voorbij schuiven waarbij certificaten niet geldig zijn, self signed zijn of expired zijn. In theorie kan het zijn dat een mailserver je self-signed certificate reject maar ik denk dat maar weinig mail-admins dat doen.

vrijdag 7 januari 2011 13:58

Acties:
  • 0 Henk 'm!
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
silentsnake schreef op donderdag 06 januari 2011 @ 23:18:
[...]
Ik beheer een internet relay omgeving voor 2500 users en daar hebben we wel geldige certificaten, maar ik zie genoeg TLS connecties voorbij schuiven waarbij certificaten niet geldig zijn, self signed zijn of expired zijn.
Zijn zulk soort gegevens makkelijk op te vragen uit postfix? Ik ben zelf ook wel benieuwd wat andere mailservers doen waarmee er gecommuniceerd wordt.

Wat zijn eigenlijk de standaard instellingen van Postfix op dit gebied? (Nu even geen tijd om na te kijken, misschien weet iemand het)

zondag 9 januari 2011 00:08

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

_JGC_ schreef op woensdag 05 januari 2011 @ 20:22:
DigiCert, zijn een stuk goedkoper dan Verisign, bieden veel meer opties, en belangrijker nog: ze reageren veel sneller.
Ik zie godaddy dat voor 199$ aanbieden....
http://www.godaddy.com/ss...icates.aspx?isc=sslqeur07

Weet jij of daar kwalitatief verschil in zit? Afaik wordt GoDaddy ook gewoon door alle browsers geaccepteerd.

i3 + moederbord + geheugen kopen?

maandag 10 januari 2011 00:21

Acties:
  • 0 Henk 'm!
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 13:38

deadinspace

The what goes where now?

silentsnake schreef op donderdag 06 januari 2011 @ 23:18:
Overgens kan je ook een self-signed certificate nemen hoor, technisch is er geen verschil.
Technisch gezien is er een heel groot verschil: self-signed certificates beschermen niet tegen man-in-the-middle attacks.

Dan creëeren ze nog schijnveiligheid ook als je denkt "Yo! SSL, dus perfect veilig!" ;)

maandag 10 januari 2011 00:26

Acties:
  • 0 Henk 'm!

Verwijderd

deadinspace schreef op maandag 10 januari 2011 @ 00:21:

Technisch gezien is er een heel groot verschil: self-signed certificates beschermen niet tegen man-in-the-middle attacks.
Non-EV certificaten eigenlijk ook niet :)

maandag 10 januari 2011 00:56

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Maar een browser zal het certificaat wel onthouden en daarna gaan zeuren als het certificaat gewijzigd wordt, neem ik aan?

i3 + moederbord + geheugen kopen?

maandag 10 januari 2011 07:25

Acties:
  • 0 Henk 'm!
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Een beetje goede browser zeurt omdat de certificaatinstantie niet klopt, en biedt je dan aan om een uitzondering voor dat specifieke certificaat te maken voordat je ook maar iets op die website kunt. De meer bekendere browser zal gewoon bij elk bezoek melding maken totdat je met de hand dat certificaat toevoegt.
Pas nadat je het certificaat met de hand toevoegt zal het enige waarde hebben, maar wie zegt dat dat self-signed certificaat niet die van de mitm-aanvaller is?

maandag 10 januari 2011 10:13

Acties:
  • 0 Henk 'm!

Verwijderd

Ik gebruik ook een self-signed cert, en ik check gewoon elke keer de fingerprint van het certificaat als ik ergens zit waar mijn cert nog niet in de keychain zit.

dinsdag 11 januari 2011 21:09

Acties:
  • 0 Henk 'm!
  • silentsnake
  • Registratie: September 2003
  • Laatst online: 04-10 08:03

silentsnake

Ik snap deze (theoretische) discussie niet helemaal. Als je werkelijk bang bent voor man-in-the-middle attacks dan moet je überhaupt geen self-signed certificates accepteren en alleen maar certificaten accepteren die geldig worden verklaard door de public keys / CAs in de lokale OpenSSL / GNUTLS installatie. Je zult alleen in de praktijk zien dat die verre van compleet is en je dus ook TLS connecties gaat droppen waarbij er wel een geldig certificaat gebruikt wordt. Leuk joh ...

Kortom, leuk allemaal maar laten we eerst eens met z'n alle TLS gaan praten voordat we ons druk gaan maken over dit soort dingen. Hoeveel van het e-mail verkeer zal nog met plain-text over het internet gaan? 90%?

dinsdag 11 januari 2011 21:49

Acties:
  • 0 Henk 'm!

Verwijderd

Ik snap dat het niet ideaal is, maar als student kan ik mijn geld beter gebruiken dan aan certificaten. Ik kom vaak op plekken waar het internet niet te vertrouwen is, en waar je ook vaak gemitmd word. Zorgen dat je dan weet welk certificaat van jou is is dan wel handig.

donderdag 13 januari 2011 14:47

Acties:
  • 0 Henk 'm!
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
Ik heb nu 2 certificaten in aanvraag.

Ik ben van plan m'n master.cf bestand aan te passen om de twee functies enigszins los te trekken. Mijn idee:
code:
1

smtp      inet  n       -       y       -       -       smtpd

verander ik naar:
code:
1
2
3
4
5
6

mx1.domein.nl:25      inet  n       -       y       -       -       smtpd
smtp.domein.nl:25      inet  n       -       y       -       -       smtpd
 -o smtpd_tls_cert_file = ...
 -o smtpd_tls_key_file = ...
 -o smtpd_sasl_auth_enable = yes
 -o smtpd_banner = smtp.domein.nl ESMTP $mail_name


(i.p.v. domeinnamen:25 natuurlijk 2 losse IP adressen Ik kan ook 2 losse instances maken i.p.v. frotten in het master.cf bestand maar dat lijkt me een beetje overkill)
Dit zorgt ervoor dat er op 2 adressen een SMTP verbinding binnen kan komen met een ander certificaat, hostname en wel/geen authentificatie mogelijk

Wat ik nog niet snap is hoe ik ervoor kan zorgen dat alle uitgaande E-mail via mx1.domein.nl gaat? Ik denk dat als ik het zo instel het als volgt gaat:
E-mail welke via mx1.domein.nl binnen komt wordt als mx1.domein.nl gerelayed naar de next hop (via transport map)
E-mail welke via smtp.domein.nl binnenkomt wordt als smtp.domein.nl doorgestuurd naar de bestemming. Dit moet dus eigenlijk altijd via mx1.domein.nl gaan. Ik kom er maar niet achter hoe dit moet.

[ Voor 6% gewijzigd door Joolee op 13-01-2011 15:17 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq