[BSD] sendmail auth sasldb2

[Adam Szilveszter]

Szia!

Balazs Pocze wrote:

> Mindegy is, a szóbanforgó gép egy smtp gateway, a kintről jövő forgalmat 
> választom vele ketté, ő az első mail server amivel kívülről találkozik 
> az ember.

Igen.

> Naszóval az a kérdésem, hogy hogyan tudom megcsinálni azt, hogy az 
> smtp-t hajlandó legyen authentikálni egy másik szerveren lévő sasldb-ből.

Gondolom lehet, de fejbol nem megy...

> sendmail-sasl fentvan, és a cyrus-sasl2-saslauthd port is.

Ez jó.

> Eléggé répa vagyok a sendmail ugyén, konfiguráltam már ugyan sendmailt 
> debian alatt, de  akkor egy darab sendmail.cf-fel (illetve .mc-vel) volt 
> dolgom, és nem nagyon látom, hogy most hová kellene nyúlnom.
> van egy freebsd.mc-m, egy host.neve.mc, egy host.neve.submit.mc.

Igen. Neked a hostneve.mc-t kell szerkeszteni (a submit.mc-be altalaban 
nem kell belenyulni) es abbol fog o csinalni egy Makefile utjan 
hostneve.cf-et, amit aztan sendmail.cf neven bemasolsz a megfelelo 
helyre. (vagy o a make install-al) Az alaprendszerben a kerdeses 
Makefile az /etc/mail-ban van.

> (tényleg, ha portsból felteszek egy patchelt sendmailt, akkor továbbra 
> is a /etc/mail alatti dolgokat foglja használni, 

Jo kerdes. Lehet, hogy csak akkor, ha kulon igy volt konfiguralva. Nezd 
meg a port Makefile-t.

> illetve ki kell vegyem 
> az rc.conf-ból a sendmail_enable-t, ill futtatni a /usr/local/etc/rc.d/ 
> alatti skriptjeit helyette?)

Ez elvalik, ha az alaprendszerbeli dolgokat hasznalja, akkor leeht, hogy 
nem kell az /usr/local stb script, de ha nem, akkor az kell es a 
sendmail_enable nem kell. Mondom, nezd meg a Makefile-t a portnal.

> Elvileg a sendmail.org-on levő doksi szerint fordítási időben kellene 
> megadnom a sendmail-nek, hogy ő most sasl-t akarjon használni. 
> Praktikusan gondolom ezt leveszi a vállamról a make install a 

Igen.

> sendmail-sasl. Ha viszont így van, akkor akkor miért nem akar menni? 

Hmmm. Ennyire keves info alapjan nagyon kalandos lenne barmilyen 
tippeles... mit csinaltal azon felul, hogy feltetted a portokat? Mi 
tortent? (leesett, felrobbant, betorott, elszallt, horkolt, elment, 
visszajott, esetleg *melylevego* kiirt valamit stb. Ma mar ez a masodik 
olyan uzenet, ami a reszletek szinte teljes hianyaval tunik ki, es 
valahogy elvarja, hogy talaljak mar ki a tobbiek gondolatolvasassal a 
hianyzot... nem fog megtortenni... es az se, hogy csak annyit mond 
valaki, hogy "x nem megy" es maris ravagjak, hogy "igen, ez csak azert 
lehet, mert y. Fricskazd meg z-t es megy!" es ennyivel kesz...)

> Illetve pam-on keresztül tudom arra konfigurálni a sasl-t hogy egy 
> távoli hostról vegye az authentikációt?

Sok mindent lehet, de nem biztos, hogy kell...

> Végül pedig mi kell ahhoz, hogy 
> tls-sel tudjak titkosítani sendmail mellett?

Mellett? A TLS-t a sendmail beszeli a masik szerverrel. Mire gondoltal?

> Vagy ha nem AUTH PLAIN 
> módon csinálom az authentikációt, akkor végül is felejthetem  el TLS-t 
> (elég biztonságos?)

A ketto nem ugyanarra valo. A TLS az uzenet tartalmat vedi, mig az auth 
az azonositast szolgálja kuldes elott. Egyik megy a masik nelkul. Szvsz 
(es lehet erte megkovezni) a TLS-nek nincs sok jelentosege, mert hiaba 
biztositod mondjuk a te geped es a kovetkezo MTA kozott a titkositast, 
ha az aztan boldogan clear textben adja tovabb az emailedet. Az 
azonositas ellenben egy jo otlet. Persze nem AUTH PLAIN-el, ha csak egy 
mod van ra, mert az (mint a neve is mutatja) nem vedi az azonosito 
adatokat igy barki lehallgathatja azokat.

Sz.