R: Qmail, pop3/smtp, stunnel on openbsd system

Si esiste tale patch
La trovi all'url auth-smtp presente sul sito
http://members.elysium.pl/brush/qmail-smtpd-auth .
Invece come soluzione perché non provare a mettere un pop3  gateway
Ti consiglio perdition che supporta pop3s e imaps per l'smtp ti rimando
alla patch di cui sopra. Unico problema se la usi devi usare un server a
parte per l'MX perché nella priorità l'utente autenticato via smtp viene
considerato meno della lista dei badmailfrom. Quindi se metti
l'anti-relay un utente anche se autenticato che appartiene al tuo
dominio non puo' inviare da quel server.
Per qmail + openssl + vtunnel vedi questo tutorial 
http://www.ekkaia.org/software/mail/qmailssl.php
Se qualcosa non è chiaro (come credo) fammi sapere
A presto

Ing. Fausto Pasqualetti  
EDS Electronic Data Systems Italia S.p.A.
  



-----Messaggio originale-----
Da: Andrea Riela [mailto:ml@xxxxxxxx] 
Inviato: venerdì 31 ottobre 2003 15.15
A: ml@xxxxxxxxxxxxx
Oggetto: Qmail, pop3/smtp, stunnel on openbsd system


Ciao ragazzi,

Vorrei aprire un smtp relay sicuro, ma per evitare che diventi un open
relay ho bisogno che gli utenti che l'utilizzano vengano prima
autenticati e abilitati dal sistema. Premetto che ho un server qmail su
openbsd, per gli esempi pratici. Ora, che strumenti posso utilizzare?
Soluzioni tipo --enable-roaming=y in vpopmail o smtp-auth sono parziali,
nel senso che l'utente si autentica col pop3 ma il tutto è fatto
bellamente in chiaro. Quindi, ssl? Pare proprio di sì. È possibile
patchare qmail con il supporto TLS, oppure affidarsi a stunnel, io direi
di seguire la seconda ipotesi. L'obbiettivo è quello di fare in modo che
l'utente pinco che non vuole utilizzare il mio relay possa comunque
scaricare la posta tramite un semplice pop3 non protetto (oppure avere
la libera scelta se affidarsi o meno alla soluzione ssl), mentre
l'utente palla che invece desidera sparare la sua posta in giro per il
mondo tramite il mio server sia costretto prima ad autenticarsi (come
utente pop3 abilitato, e quindi tramite il servizio pop3 e smtp ssl). Se
ho ben capito, la cosa migliore da fare sarebbe la seguente:

Pinco: pop3 ---> 110 servizio pop3
       smtp ---> il server della sua connessione

Palla: pop3 ---> 995 pop3+ssl, perché richiesto dall'smtp
       smtp ---> 25 smtp+ssl (autenticazione=pop3)

In questo modo l'utente che utilizza il mio relay è costretto ad
utilizzare il pop3+ssl, in modo che usr/pass non vengano sniffate e
riutilizzare per autenticarsi sull'smtp+ssl. Questo non mi permette di
proteggere la posta che uscirà o entrerà nel mio server da altri server
smtp (ovviamente), ma avrò una maggiore sicurezza sul lato
server-client. Ora, in pratica come fare? Ecco le domande:

1- non so come generare con openbsd un certificato per i servizi pop3 e
smtp
+ssl (sono niubbo, lo so);
2- dal lato server ho visto come si può configurare il tutto, ma dal
lato client? Il servizio ssl è implementato in tutti i clients? Sto
leggendo anche il tut del buon Koba su Bfi
(http://www.s0ftpj.org/bfi/online/bfi7/bfi07-15.html), ma lo
stunnel_client è indispensabile? Non basta attivare nei vari
email-client (tipo outlook-mail-etc etc) l'autenticazione via ssl? In
questo caso, se sì, il "man in the middle" è sempre un rischio?

Cosa ne pensate di questo delirio?
Attendo consigli che vadano all'uovo ... Pardòn al sodo (per chi ha
orecchie per intendere :))

Andrea


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List