Chinaunix

标题: 请教思一克，tcpserver SSL/TLS patch有没有相关的文档？ [打印本页]

作者: 大麻 时间: 2006-05-17 14:38
标题: 请教思一克，tcpserver SSL/TLS patch有没有相关的文档？
不好意思，找了半天也没有找到其文档？在 http://www.nrg4u.com/ 网站好像也没有更多的资料。

另外，这个应该与用 stunnel 实现的目标是一样的吧？

作者: 思一克 时间: 2006-05-17 15:13
大麻，我是看过ldap patch. 文档好象是自带的，不是很全。

BY THE WAY，

可以给我发信，讨论

作者: 阿辉 时间: 2006-05-17 15:21
http://qmail.ixip.net/

不知道是什么语言的，不过我想看那些命令也差不多了。。

作者: 阿辉 时间: 2006-05-17 15:26
mkdir /packages
cd /packages
wget http://cr.yp.to/ucspi-tcp/ucspi-tcp-0.88.tar.gz
wget ftp://moni.csi.hu/pub/glibc-2.3.1/ucspi-tcp-0.88.a_record.patch
wget http://www.nrg4u.com/qmail/ucspi-tcp-ssl-20050405.patch.gz
wget http://qmail.ixip.net/download/ucspi-tcp-0.88.errno.patch
gunzip ucspi-tcp-ssl-20050405.patch.gz
cd /usr/local/src
tar xzvf /paclages/ucspi-tcp-0.88.tar.gz
cd ucspi-tcp-0.88
patch -p1 < /packages/ucspi-tcp-0.88.a_record.patch
patch -p1 < /packages/ucspi-tcp-0.88.errno.patch
patch -p0 < /packages/ucspi-tcp-ssl-20050405.patch

cd /etc/ssl
openssl req -new -x509 -nodes -days 365 -out tmp.pem
Using configuration from /etc/ssl/openssl.cnf
Generating a 1024 bit RSA private key
..................................++++++
.....................++++++
writing new private key to 'privkey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [BG]:
State or Province Name (full name) [BG]:
Locality Name (eg, city) [Stara Zagora]:
Organization Name (eg, company) [My Organization]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) [mail.mydomain.org]:
Email Address [sysadmin@mydomain.org]:

cat tmp.pem >> privkey.pem
cp privkey.pem certs/smtps.pem
mv privkey.pem certs/pop3s.pem
chmod 400 certs/smtps.pem
chmod 400 certs/pop3s.pem
rm -f tmp.pem

# SMTP-AUTH w/RBL's
tcpserver -x /var/vpopmail/etc/tcp.smtp.cdb -p -DRHl localhost -c 40 -u 88 -g 83 0 smtp \
rblsmtpd -r bl.spamcop.net -r list.dsbl.org -r cbl.abuseat.org -r list.dsbl.org -r sbl.spamhaus.org \
/var/qmail/bin/qmail-smtpd /var/vpopmail/bin/vchkpw /bin/true &

# SMTP-AUTH w/SSL
tcpserver -n /etc/ssl/certs/smtps.pem -x /var/vpopmail/etc/tcp.smtp.cdb \
-s -H -l0 -R -u 88 -g 83 0 465 /var/qmail/bin/tcp-env \
tcp-env /var/qmail/bin/qmail-smtpd /var/vpopmail/bin/vchkpw /bin/true &

# POP3
tcpserver -x /var/vpopmail/etc/tcp.smtp.cdb -DRHl localhost -u vpopmail -g vchkpw 0 110 /var/qmail/bin/qmail-popup \
`hostname -f` /var/vpopmail/bin/vchkpw /var/qmail/bin/qmail-pop3d \
5>>/var/log/maillog Maildir &

# POP3 w/SSL
/usr/bin/tcpserver -n /etc/ssl/certs/pop3s.pem \
-s -DRHl localhost -u vpopmail -g vchkpw 0.0.0.0 995 /var/qmail/bin/qmail-popup \
`hostname -f` /var/vpopmail/bin/vchkpw /var/qmail/bin/qmail-pop3d Maildir &
touch /var/lock/subsys/qmail

作者: 思一克 时间: 2006-05-17 15:39
to 楼上，

tcpserver的SSL，（尽管是好用的）不好。TLS不行，
而且还多用一个进程去和具体应用传递。

可以实验。

作者: 大麻 时间: 2006-05-17 16:06

原帖由 思一克 于 2006-5-17 15:39 发表
to 楼上，

tcpserver的SSL，（尽管是好用的）不好。TLS不行，
而且还多用一个进程去和具体应用传递。

而且仅仅是实现了 pop3d/ssl ，对吧？对 smtpd 没有用，我的理解对吗？

另外， qmail-ldap 中的 smtp-auth-tls 应该是使用的 http://shupp.org/smtp-auth-tls/ 这个网站提供的 patchs。

我另外从 qmail.org 找到一个 http://www.suspectclass.com/~sgifford/ucspi-tls/ ，不过看了他的文档，感觉更加迷惑了。呵呵，不过好像这家伙实现了pop3d 的STLS.

作者: 思一克 时间: 2006-05-17 16:45
to 大麻，

用tcpserver-ssl也可以实现smtpd ssl吧。我没有具体做过，但原理上。。。？

作者: 大麻 时间: 2006-05-17 17:23

原帖由 思一克 于 2006-5-17 16:45 发表
to 大麻，

用tcpserver-ssl也可以实现smtpd ssl吧。我没有具体做过，但原理上。。。？

我就是已经实际做过。：）所以才请教你。

作者: 思一克 时间: 2006-05-18 12:06
to 大麻，

听说sendmail中有SSL，TLS，你可以参考他的代码？

作者: 大麻 时间: 2006-05-18 14:32

原帖由 思一克 于 2006-5-18 12:06 发表
to 大麻，

听说sendmail中有SSL，TLS，你可以参考他的代码？

这种参考不太现实。
http://shupp.org/smtp-auth-tls/ 这个应该不错，至于 pop3d ，我觉得直接用 courier-imap 提供的好了。

作者: 阿辉 时间: 2006-05-26 11:34

原帖由 思一克 于 2006-5-17 15:39 发表
to 楼上，

tcpserver的SSL，（尽管是好用的）不好。TLS不行，
而且还多用一个进程去和具体应用传递。

可以实验。

不知为什么说SSL不好？

作者: 大麻 时间: 2006-05-26 11:48
我已经将 qmail-tls 整合到 qmail-igenus patchs 不日将发表。

作者: 思一克 时间: 2006-05-26 11:53
SSL当然好。我说的是在TCPSERVER中实现SSL不太好。

作者: 阿辉 时间: 2006-05-26 15:03

原帖由大麻于 2006-5-26 11:48 发表
我已经将 qmail-tls 整合到 qmail-igenus patchs 不日将发表。

大麻，建议你的patch要支持qmail-scanner，因为用他杀毒比较灵活，QHPSI不太好用。前段时间我准备用你的patch的，但因为qmail-scanner不行，所以后来改用spamcontrol patch了。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)