请教,sendmail如何做到让本地用户发给本地用户也必须走smtp认证

tianyayang

请教,sendmail如何做到让本地用户（本地用户发给本地用户）也必须走smtp认证

abel

這應該是有問題的
對 sendmail 來說,這都不是 relay (不論本地或非本地用戶發向本地)
而只是單純的 smtp in 的動作而以

dragon304

请教,sendmail如何做到让本地用户（本地用户发给本地用户）也必须走smtp认证

abel

用 SSL 吧,肯定萬無一失,也不怕被偽造,傳送時更是加密
http://www.ofb.net/~jheiss/sendmail/tlsandrelay.shtml

思一克

to Abel,

SSL根本不防止“伪造”问题。

abel

原帖由 思一克 于 2006-5-30 10:17 发表
to Abel,

SSL根本不防止“伪造”问题。

思兄了解 sendmail SSL ?
我可以給內部的人每個人 sign 一個 SSL Cert. (cn 值為每個人)
並且要求內部 IP 在寄送時只能使用 smtps (STATTLS) 做 relay
所以不管內部 user 寄到哪裏都會有這個 SSL 的憑證資訊
憑證(Cert) 不是只有加密功能,也含有認證功能(認這個人),我們家的
WLAN 走 WPA,所有的無線網路存取要 SSL Cert (必要求,不能沒有), Sendmail 也是要 SSL Cert
(不要求, User 自決),我們和一些重要單位信件的往來全走 STARTTLS 的,
而在我們 BS7799 的要求下,我們也確實是這麼做的,
憑證(Cert) 不是只有加密通道而以

思一克

To Abel,

sendmail支持的STARTTLS。这不是真正的SSL（因为会话的一部分是明的传送）。也可能支持SSL收发--我不了解。

你可以实验，用STARTTLS CERT的发件人，在OUTLOOK中将自己的email 地址改了（不是验证帐户！），看可以发送否？

思一克

To Abel,

”伪造“ 就是2个都有CERT的人，A将自己的email地址改写为B的。你按我上边的帖子的实验。

原帖由 abel 于 2006-5-30 10:37 发表

思兄了解 sendmail SSL ?
我可以給內部的人每個人 sign 一個 SSL Cert. (cn 值為每個人)
並且要求內部 IP 在寄送時只能使用 smtps (STATTLS) 做 relay
所以不管內部 user 寄到哪裏都會有這個 SSL 的憑證資訊 ...

abel

原帖由 思一克 于 2006-5-30 11:07 发表
To Abel,

sendmail支持的STARTTLS。这不是真正的SSL（因为会话的一部分是明的传送）。也可能支持SSL收发--我不了解。

你可以实验，用STARTTLS CERT的发件人，在OUTLOOK中将自己的email 地址改了（不是验证帐 ...

sendmail 不是真正的 SSL ? 這就奇怪了, ssl 不只用在 http 而以, sendmail 的 stattls 可以是 sslv1 v2 tlsv1 ...等都可以設,至於會話階段, sendmail 的做法是送出 ehlo 後看到 stattls(Server to Server) 時,若本身也有支援 ssl 的話, sendmail 會 close 現在的 smtp 25, 改用 smtps 465
(也就是呼叫 openssl s_client -connect mail_server:465) , 這樣的動作就一個 ehlo 是明碼,其他都是加密
的,所以您的說法我是不贊同的,都不 ehlo 就認定對方有支援 starttls 那才會造成信件無法傳送,
以上是以 root 實際傳送信件的過程,重點是 stattls 那幾行

1. 
   
2. [root@mydomain mail]# mail abelyang -v
   
3. Subject: 3
   
4. .
   
5. Cc:
   
6. Null message body; hope that's ok
   
7. abelyang... Connecting to [0.0.0.0] via relay...
   
8. 220 mydomain.net.tw ESMTP Sendmail 8.13.6/8.13.5; Tue, 30 May 2006 11:26:48 +0800
   
9. >>> EHLO mydomain.net.tw
   
10. 250-mydomain.net.tw Hello localhost [127.0.0.1], pleased to meet you
    
11. 250-ENHANCEDSTATUSCODES
    
12. 250-PIPELINING
    
13. 250-8BITMIME
    
14. 250-SIZE
    
15. 250-DSN
    
16. 250-ETRN
    
17. 250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN
    
18. 250-STARTTLS
    
19. 250-DELIVERBY
    
20. 250 HELP
    
21. >>> STARTTLS
    
22. 220 2.0.0 Ready to start TLS
    
23. >>> EHLO mydomain.net.tw
    
24. 250-mydomain.net.tw Hello localhost [127.0.0.1], pleased to meet you
    
25. 250-ENHANCEDSTATUSCODES
    
26. 250-PIPELINING
    
27. 250-8BITMIME
    
28. 250-SIZE
    
29. 250-DSN
    
30. 250-ETRN
    
31. 250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN
    
32. 250-DELIVERBY
    
33. 250 HELP
    
34. >>> MAIL From:<root@mydomain.net.tw> SIZE=25 AUTH=root@mydomain.net.tw
    
35. 250 2.1.0 <root@mydomain.net.tw>... Sender ok
    
36. >>> RCPT To:<abelyang@mydomain.net.tw>
    
37. >>> DATA
    
38. 250 2.1.5 <abelyang@mydomain.net.tw>... Recipient ok
    
39. 354 Enter mail, end with "." on a line by itself
    
40. >>> .
    
41. 250 2.0.0 k4U3Qmxn017301 Message accepted for delivery
    
42. abelyang... Sent (k4U3Qmxn017301 Message accepted for delivery)
    
43. Closing connection to [0.0.0.0]
    
44. >>> QUIT
    
45. 221 2.0.0 mydomain.net.tw closing connection
    

复制代码

另一個問題,
若 user 地址改了,但是它的表頭還是會帶 CN 值的,除非別人盜用了他人的 SSL Cert.
也就是 user 信件若是使用了 SSL Cert. 的方式發送,其收信的表頭將會出現
(openssl pkcs12 -export -in server.pem -out abel_cert.pkcs12 -name "Abel Personal Certificate")
Abel Personal Certicate 這樣的字眼,所以,用 SSL Cert. 方式來做是絕對行得通的,
而且效果更好

思一克

To Abel,

在SMTP连接的意义上，TLS当然不是SSL。一但STARTTLS之后，连接变为SSL。所以TLS是对部分SMTP连接的SSL，不是全部的。所以为许多MAIL CLIENT什么分SSL，TLS了。否则就不用分了。

至于可不可以防止2个用户（都有CERT）的地址改写（伪造），你自己实验。
A用A的CERT肯定可以建立连接（STARTTLS），之后对两端来讲，就是明码了，A 再 发MAIL FROM：<B>
当然可以了（这时和TLS无关了），只要MAIL系统没有防止，加TLS也防止不了。