Re: [ml] STARTTLS riscritto dal firewall

On Thu, 2005-02-10 at 11:46 +0100, Alessio Cecchi wrote:
> Questa è bella
> 
> sto mettendo su un sistema qmail con tutti i vari smtp, pop ed imap 
> attraverso tls ed ssl. Tutto funziona tranne smtp-auth+tls. Non ne vuole 
> sapere. Ottengo un errore "500 sysntax error unrecognized command" 
> quando imposto il client per l'utilizzo di TLS. Ho controllato tutto, 
> copiato file di configurazione da altre macchine funzionanti, ma nulla 
> non funziona il TLS.
> 
> Leggendo in giro trovo che alcuni hanno lo stesso problema. Alla fine 
> viene fuori che il loro firewall cisco PIX riscrive la sessione SMTP. 
> Adesso questo mio server è dietro un Firewall WatchGuard (non gestito da 
> me).

Purtroppo è un annoso problema, oltre al cisco PIX (ma la cosa è
configurabile iirc), ci sono anche moltissimi software antivirus che
fanno la stessa cosa intercettando le connessioni e "filtrando" via
STARTTLS (se non generando headers del tutto fasulli), e si che
l'antivirus potrebbe tranquillamente incapsulare e decapsulare TLS
terminando la sessione sull'host sorgente... bah

Sono politiche al limite dell'assurdo anche perchè nessuno ti dice mai
nulla e devi sbatterci la testa mezza giornata prima di scoprire la cosa
e il risultato è che devi azzerare le tue politiche di sicurezza a causa
di uno stupidissimo antivirus (che è proprio una beffa per uno come me
che di antivirus non ha bisogno viso che sul client utilizzo GNU/Linux e
ci pensa già il server di posta che uso a filtrare via tutta la
spammeria dei virus).

Simo.

-- 
Simo Sorce - simo.sorce@xxxxxxx
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399