forum.opennet.ru - "SendMail+sasl2 встал (спасибо lavr), теперь о последствиях" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"SendMail+sasl2 встал (спасибо lavr), теперь о последствиях"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"SendMail+sasl2 встал (спасибо lavr), теперь о последствиях"
Сообщение от СергейКа on 27-Ноя-02, 17:24 (MSK)
Запрашивает файлы /etc/servtab и /etc/opiekeys по сервтаб нашел в мануале Field Description name User's login name. sequence User's sequence number. seed User's seed. key User's last response (hex). date Last change date. time Last change time. Недурно бы примерчик где нибудь посмотреть... Opiekeys вроде как для IMAP, что с ним сделать?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..., lavr, 17:36 , 27-Ноя-02, (1)
- RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..., СергейКа, 17:58 , 27-Ноя-02, (2)
  - RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..., lavr, 18:22 , 27-Ноя-02, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..."

Сообщение от lavr on 27-Ноя-02, 17:36  (MSK)

>Запрашивает файлы /etc/servtab и /etc/opiekeys
>по сервтаб нашел в мануале
>
>Field         Description
>name          User's login
>name.
>sequence      User's sequence number.
>seed          User's seed.
>
>key           User's
>last response (hex).
>date          Last change
>date.
>time          Last change
>time.
>
>Недурно бы примерчик где нибудь посмотреть...
>
>Opiekeys вроде как для IMAP, что с ним сделать?

смотри свою авторизацию OPIE, S/KEY, я не знаю как и что ты собрал
less /usr/ports/security/cyrus-sasl2/files/Sendmail.README
http://www.sendmail.org/~ca/email/auth.html#AUTH
определись с механизмами авторизации

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..."

Сообщение от СергейКа on 27-Ноя-02, 17:58  (MSK)

How to enable SMTP AUTH with FreeBSD default Sendmail
1) Add the following to  /etc/make.conf:
    # Add SMTP AUTH support to Sendmail
    SENDMAIL_CFLAGS+=   -I/usr/local/include -DSASL=2
    SENDMAIL_LDFLAGS+=  -L/usr/local/lib
    SENDMAIL_LDADD+=    -lsasl2
2) Rebuild FreeBSD (make buildworld, ...)
3) Create /usr/local/lib/sasl2/Sendmail.conf with the following.
   pwcheck_method: saslauthd
4) Add the following to your sendmail.mc file:
   dnl The group needs to be mail in order to read the sasldb2 file
   define(`confRUN_AS_USER',`root:mail')dnl
   TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5')dnl
   define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5')dnl
   define(`confDONT_BLAME_SENDMAIL',`GroupReadableSASLDBFile')dnl
----
   Additional AUTH Mechanisms are LOGIN, PLAIN, GSSAPI, and KERBEROS_V4.
   These can be added to TRUST_AUTH_MECH and confAUTH_MECHANISMS as a space
   seperated list.  You may want to restrict LOGIN, and PLAIN authentication
   methods for use with STARTTLS, as the password is not encrypted when
   passed to sendmail.
   LOGIN is required for Outlook Express users.  "My server requires
   authentication" needs to be checked in the accounts properties to
   use SASL Authentication.
   PLAIN is required for Netscape Communicator users.  By default Netscape
   Communicator will use SASL Authentication when sendmail is compiled with
   SASL.
   The DONT_BLAME_SENDMAIL option GroupReadableSASLDBFile is needed when you
   are using cyrus-imapd and sendmail on the same server that requires access
   to the sasldb2 database.
Вроде ничего криминального ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..."

Сообщение от lavr on 27-Ноя-02, 18:22  (MSK)

>How to enable SMTP AUTH with FreeBSD default Sendmail
>
>1) Add the following to  /etc/make.conf:
>
>    # Add SMTP AUTH support to Sendmail
>    SENDMAIL_CFLAGS+=   -I/usr/local/include -DSASL=2
>    SENDMAIL_LDFLAGS+=  -L/usr/local/lib
>    SENDMAIL_LDADD+=    -lsasl2
>
>2) Rebuild FreeBSD (make buildworld, ...)
>
>3) Create /usr/local/lib/sasl2/Sendmail.conf with the following.
>
>   pwcheck_method: saslauthd
>
>4) Add the following to your sendmail.mc file:
>
>   dnl The group needs to be mail in order
>to read the sasldb2 file
>   define(`confRUN_AS_USER',`root:mail')dnl
>
>   TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5')dnl
>   define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5')dnl
>
>   define(`confDONT_BLAME_SENDMAIL',`GroupReadableSASLDBFile')dnl
>
> ----
>
>   Additional AUTH Mechanisms are LOGIN, PLAIN, GSSAPI, and KERBEROS_V4.
>
>   These can be added to TRUST_AUTH_MECH and confAUTH_MECHANISMS as
>a space
>   seperated list.  You may want to restrict LOGIN,
>and PLAIN authentication
>   methods for use with STARTTLS, as the password is
>not encrypted when
>   passed to sendmail.
>
>   LOGIN is required for Outlook Express users.  "My
>server requires
>   authentication" needs to be checked in the accounts properties
>to
>   use SASL Authentication.
>
>   PLAIN is required for Netscape Communicator users.  By
>default Netscape
>   Communicator will use SASL Authentication when sendmail is compiled
>with
>   SASL.
>
>   The DONT_BLAME_SENDMAIL option GroupReadableSASLDBFile is needed when you
>   are using cyrus-imapd and sendmail on the same server
>that requires access
>   to the sasldb2 database.
>
>Вроде ничего криминального ...

систему не надо пересобирать если есть поддержка kerberos (вроде она нужна для SASL), достаточно sendmail
Когда-то давно я отписывал что должно быть в sendmail.mc: LOGIN PLAIN и тд и тп и кто-то даже обещал написать руководство для sendmail+smtp-auth,
увы сейчас архивы моих записулек недоступны, тот кто обещал ничего не написал :)
так что по памяти:
TRUST_AUTH_MECH(`PLAIN LOGIN DIGEST-MD5 CRAM-MD5')
define(`confAUTH_MECHANISMS', `PLAIN LOGIN DIGEST-MD5 CRAM-MD5')
Sendmail.conf должен содержать механизм авторизации через sasl
PLAIN/LOGIN работает железно
и еще в access ничего не должно быть кроме:
localhost.localdomain           RELAY
localhost                       RELAY
127.0.0.1                       RELAY
0.0.0.0                         RELAY
что-то типа того, поскольку пользователи должны будут авторизоваться
для работы через SMTP и по идее должно быть фиолетово с каких ip и доменов они шлют почту.
telnet localhost 25
...
ehlo localhost
...
250-AUTH LOGIN PLAIN - гуд
...
rset
quit
PS. Вполне возможно что где-то неточно, но вроде так, другие поправят
или посмотри в документации и по ссылке про smtp-auth

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..."
Сообщение от lavr on 27-Ноя-02, 17:36 (MSK)
>Запрашивает файлы /etc/servtab и /etc/opiekeys >по сервтаб нашел в мануале > >Field Description >name User's login >name. >sequence User's sequence number. >seed User's seed. > >key User's >last response (hex). >date Last change >date. >time Last change >time. > >Недурно бы примерчик где нибудь посмотреть... > >Opiekeys вроде как для IMAP, что с ним сделать? смотри свою авторизацию OPIE, S/KEY, я не знаю как и что ты собрал less /usr/ports/security/cyrus-sasl2/files/Sendmail.README http://www.sendmail.org/~ca/email/auth.html#AUTH определись с механизмами авторизации
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..."
	Сообщение от СергейКа on 27-Ноя-02, 17:58 (MSK)
	How to enable SMTP AUTH with FreeBSD default Sendmail 1) Add the following to /etc/make.conf: # Add SMTP AUTH support to Sendmail SENDMAIL_CFLAGS+= -I/usr/local/include -DSASL=2 SENDMAIL_LDFLAGS+= -L/usr/local/lib SENDMAIL_LDADD+= -lsasl2 2) Rebuild FreeBSD (make buildworld, ...) 3) Create /usr/local/lib/sasl2/Sendmail.conf with the following. pwcheck_method: saslauthd 4) Add the following to your sendmail.mc file: dnl The group needs to be mail in order to read the sasldb2 file define(`confRUN_AS_USER',`root:mail')dnl TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5')dnl define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5')dnl define(`confDONT_BLAME_SENDMAIL',`GroupReadableSASLDBFile')dnl ---- Additional AUTH Mechanisms are LOGIN, PLAIN, GSSAPI, and KERBEROS_V4. These can be added to TRUST_AUTH_MECH and confAUTH_MECHANISMS as a space seperated list. You may want to restrict LOGIN, and PLAIN authentication methods for use with STARTTLS, as the password is not encrypted when passed to sendmail. LOGIN is required for Outlook Express users. "My server requires authentication" needs to be checked in the accounts properties to use SASL Authentication. PLAIN is required for Netscape Communicator users. By default Netscape Communicator will use SASL Authentication when sendmail is compiled with SASL. The DONT_BLAME_SENDMAIL option GroupReadableSASLDBFile is needed when you are using cyrus-imapd and sendmail on the same server that requires access to the sasldb2 database. Вроде ничего криминального ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: SendMail+sasl2 встал (спасибо lavr), теперь о последстви..."
	Сообщение от lavr on 27-Ноя-02, 18:22 (MSK)
	>How to enable SMTP AUTH with FreeBSD default Sendmail > >1) Add the following to /etc/make.conf: > > # Add SMTP AUTH support to Sendmail > SENDMAIL_CFLAGS+= -I/usr/local/include -DSASL=2 > SENDMAIL_LDFLAGS+= -L/usr/local/lib > SENDMAIL_LDADD+= -lsasl2 > >2) Rebuild FreeBSD (make buildworld, ...) > >3) Create /usr/local/lib/sasl2/Sendmail.conf with the following. > > pwcheck_method: saslauthd > >4) Add the following to your sendmail.mc file: > > dnl The group needs to be mail in order >to read the sasldb2 file > define(`confRUN_AS_USER',`root:mail')dnl > > TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5')dnl > define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5')dnl > > define(`confDONT_BLAME_SENDMAIL',`GroupReadableSASLDBFile')dnl > > ---- > > Additional AUTH Mechanisms are LOGIN, PLAIN, GSSAPI, and KERBEROS_V4. > > These can be added to TRUST_AUTH_MECH and confAUTH_MECHANISMS as >a space > seperated list. You may want to restrict LOGIN, >and PLAIN authentication > methods for use with STARTTLS, as the password is >not encrypted when > passed to sendmail. > > LOGIN is required for Outlook Express users. "My >server requires > authentication" needs to be checked in the accounts properties >to > use SASL Authentication. > > PLAIN is required for Netscape Communicator users. By >default Netscape > Communicator will use SASL Authentication when sendmail is compiled >with > SASL. > > The DONT_BLAME_SENDMAIL option GroupReadableSASLDBFile is needed when you > are using cyrus-imapd and sendmail on the same server >that requires access > to the sasldb2 database. > >Вроде ничего криминального ... систему не надо пересобирать если есть поддержка kerberos (вроде она нужна для SASL), достаточно sendmail Когда-то давно я отписывал что должно быть в sendmail.mc: LOGIN PLAIN и тд и тп и кто-то даже обещал написать руководство для sendmail+smtp-auth, увы сейчас архивы моих записулек недоступны, тот кто обещал ничего не написал :) так что по памяти: TRUST_AUTH_MECH(`PLAIN LOGIN DIGEST-MD5 CRAM-MD5') define(`confAUTH_MECHANISMS', `PLAIN LOGIN DIGEST-MD5 CRAM-MD5') Sendmail.conf должен содержать механизм авторизации через sasl PLAIN/LOGIN работает железно и еще в access ничего не должно быть кроме: localhost.localdomain RELAY localhost RELAY 127.0.0.1 RELAY 0.0.0.0 RELAY что-то типа того, поскольку пользователи должны будут авторизоваться для работы через SMTP и по идее должно быть фиолетово с каких ip и доменов они шлют почту. telnet localhost 25 ... ehlo localhost ... 250-AUTH LOGIN PLAIN - гуд ... rset quit PS. Вполне возможно что где-то неточно, но вроде так, другие поправят или посмотри в документации и по ссылке про smtp-auth
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх