Re: lug-bg: TLS + MTA (malko teoria + praktika)
Da stava vypros za otdelni Certificati, prosto se izdva se Root ceritficate primerno za Firma A i ti se predostavja programka s kojato moje da generirash certificats za opredelen broj domain-i na firma A, koito sa child na A Root Certificate, koito ot svoia strana e child na Verisign ili GTE root certificate, no takyv certificate e dosta po-skyp, dori mislja che e prekaleno skyp za Bg. Tzjalata tazi istoria s X.509 v.3 e mnogo stara i mrysna igra. Prez 99 vse digashe mnogo shum za tova, dori SET stigna do reshenie Certificate da sysdyrja samo edna declaratzia, I AM ; (e plus from/to date)i da predostavja vyzmojnost za podpisvane i cryptirane, i certificate trjabva ne da nosi syobstenia i poleta ka to "Address","Host", "Point-of-origin", a samo da udostverjava identity. E tova predlojenie stigna do congresa i tam si ostana sega trjbva da plastash ne 300$ za edin certificate s kojto da importvash v KeyServer i s kojta da moje da si generirash certificate za kakvoto i da bilo, a za vseki otdelen. Az dori kato rabotih za Merrill Lynch ustanovihme che ako imash edin i syst HTTPS based server kojto raboti na po-veche ot edna mashina to ti trjabva certificate za vsjaka edna ot tjah. Theodor Milkov wrote: On Wed, Mar 19, 2003 at 05:09:40PM -0500, Valentin Tzankov wrote: Vsystnost ima razlichni porducti, az predi dve godini napazuravah ot Verisign certificate kojto moje da se izpolzva za 25 web domain-a za Novartis, mislja che ima i za 100 i za 250 domain-a, no sa tzjalo systojanie, GTE systo imat multi-domain SSL certificate kojto e sravnitelno eftin. BTW mislja che "Thawte Personal Email Certificate" e bezplaten. Veroiatno ne stava duma za edin certificate, a za mnogo certificates kupeni na edro? T.e. ne znam za kakvo stava duma, no mi se struva, che certificate moje da vkliuchva samo edno ime ili poniakoga '*' wildcard, ama togava malko se gubi smisala... A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
On Wed, Mar 19, 2003 at 05:09:40PM -0500, Valentin Tzankov wrote: > Vsystnost ima razlichni porducti, > az predi dve godini napazuravah ot Verisign certificate kojto moje da se > izpolzva za 25 web domain-a za Novartis, > mislja che ima i za 100 i za 250 domain-a, no sa tzjalo systojanie, GTE > systo imat multi-domain SSL certificate kojto e > sravnitelno eftin. > BTW mislja che "Thawte Personal Email Certificate" e bezplaten. Veroiatno ne stava duma za edin certificate, a za mnogo certificates kupeni na edro? T.e. ne znam za kakvo stava duma, no mi se struva, che certificate moje da vkliuchva samo edno ime ili poniakoga '*' wildcard, ama togava malko se gubi smisala... -- Theodor MilkovHead Network Administrator Davidov Net Phone: +359 (2) 730158 A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
> > Onzi den Vesselin Kolev mi demonstrira tezi dejstviq za mail client/server, > dori mi polse prati instructions, no tezi za clients sa encrypted & signed > li4no do men, taka 4e ostavqm na nego da reshi da re-port-ne in public... Pisha documentacia po vyprosa... dano do kraia na sedmicata da e gotova, che naistina mnogo stanaha vyprosite, na koito triabva da se dade dobyr i tochen otgovor. Shte se postaraia da sym byrz i izcherpatelen. Pozdravi Vesselin Kolev A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
Vsystnost ima razlichni porducti, az predi dve godini napazuravah ot Verisign certificate kojto moje da se izpolzva za 25 web domain-a za Novartis, mislja che ima i za 100 i za 250 domain-a, no sa tzjalo systojanie, GTE systo imat multi-domain SSL certificate kojto e sravnitelno eftin. BTW mislja che "Thawte Personal Email Certificate" e bezplaten. Theodor Milkov wrote: Vapreki tochniat i izcherpatelen otgovor ot strana na V. Kolev iskam da dobavia 2 drebni neshta. On Thu, Mar 13, 2003 at 12:20:25PM +0200, Dancho Mitev wrote: Wyzmovno li e da se izpolzwa samopodpisan sertifikat? (pone za testowe? - predpolagam che da). Wyzmovno li e da se izpolzwa syshtiqt sertifikat ot CA kojto se izpolzwa s apache ili trqbwa da se kupuwa otdelen? Vapreki che moje da se izpolzva, tai kato certificate ne se izdava za usluga, a za host - triabva uslugite da sa na edin i sasht hostname! T.e. ako imenata sa www.something.com i mail.something.com, a certificate e izdaden za www.something.com, to email clientite shte se jalvat, che certificate ne e validen za mail.something.com. Move li poluchatelq da razbere po nqkakyw nachin che mevdu dwata MTA negowoto syobshtenie e bilo ( ili ne e bilo ) transferirano w kriptiran wid s TLS? Eto taka izglejda pri qmail: ---> cut <--- Received: from dave.del.bg (HELO del.bg) ([EMAIL PROTECTED]) by mail.del.bg with RC4-MD5 encrypted SMTP; 19 Mar 2003 10:40:03 - ---> cut <--- Sas zdrave, A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
>Vapreki che moje da se izpolzva, tai kato certificate ne se izdava za >usluga, a za host - triabva uslugite da sa na edin i sasht hostname! >T.e. ako imenata sa www.something.com i mail.something.com, a >certificate e izdaden za www.something.com, to email clientite shte >se jalvat, che certificate ne e validen za mail.something.com. Pravilno, taka e... Kato dopylnenie samo. Kogato TLS se poddyrzha ot strana na MTA ima dve principno razlichni deistvia po udostoveriavaneto: server i client. Edin MTA e client,kogato predava edno syobshtenie kym drug MTA. Edin MTA e server, kogato priema elektronen poshtenski potok za lokalna ili posledvashta obrabotka. V zavisimost ot tova ima DVA vida udostoverivane na MTA serverite v ramkite na TLS. Pri udostoverivaneto na nivo "client", MTA, koito e v tazi rolia, proveriava certficate-a na servera, s koito ustanoviava sesia. Sled kato se ubedi, che vsichko e nared, priema da se svyrzhe s drugia MTA. Imenno tuk se proveriava i imeto na hosta, koeto e opisano v certificate-a.V syshtoto vreme obache i drugia MTA (koito e server ot gledna tochka na vryzkata) proveriava certificate-a na clienta. Tuk e nuzhno da se napravi edno vazhno utochnenie. Kogato servera proveriava certificate-a na clienta, toi ne izvyrshva proverka na imeto na hosta (obratnoto bi znachelo da se obvyrzhe systemata ot sertificati s in-addr.arpa ierarhichnoto tyrsene). Ako tova ne be taka, to ne bi syshtestuval virtualen hosting. Pri udostoverivaneto na nivo "server", klientyt proveriava i imeto na host na servera, kym koito se svyrzva, a ne samo validnostta na certificate-a. Edin MTA mozhe da operira s dva certificate-a. Ediniat toi mozhe da izpolzva, kogato e v roliata na server, a drugia, kogato e v roliata na client. Serverskia certificate e obvyrzan s imeto na hosta, no tova ne e zadylzhitelno da e taka za clientskia certificate (tova mezhdu drugoto stana iasno i malko po-gore pri obiasniavane na principa na deistvie v dvete situacii). Ako edin client se opitva da se svyrzhe sys server i pri proverka na certificate-a stane iasno, che certificatyt na servera e nevaliden, vypreki, che nosi v poleto za ime imeto na hosta, to iavno ima sluchai na IP izmama. = *** === Configuration = *** === V m4 prototipa na sendmail.cf, faila sendmail.mc se pravi slednoto razgranichenie za certificatite izpolzvani za client i za server configuraciata na MTA dnl dnl Tova sa redovete, koito zadavat certificatite i key za servera define(`confSERVER_CERT',`/usr/share/ssl/certs/host.cert')dnl define(`confSERVER_KEY',`/usr/share/ssl/certs/host.key')dnl dnl dnl a tova sa tezi, koito zadavat configuraciata na clienta define(`confCLIENT_CERT',`/usr/share/ssl/certs/mta.cert')dnl define(`confCLIENT_KEY',`/usr/share/ssl/certs/mta.key')dnl = *** === Log = *** === Eto edna ilustracia na tova, kakvi zapisi v zhurnalnia file na Sendmail se praviat za vsiaka TLS sesia. Eto kak MTA priema TLS sesia ot domashno baziran klient, obtabotva ia i ia izprashta kym drug server: Mar 19 23:22:04 lcpe sendmail[10459]: NOQUEUE: connect from Mandrake.nat-lan.lcpe.pip.digsys.bg [193.68.191.198] Mar 19 23:22:04 lcpe sendmail[10459]: STARTTLS=server, relay=Mandrake.nat-lan.lcpe.pip.digsys.bg [193.68.191.198], version=TLSv1/SSLv3, verify=OK, cipher=EXP1024-RC4-SHA, bits=128/56 Mar 19 23:22:04 lcpe sendmail[10459]: STARTTLS=server, cert-subject=/C=BG/ST=Sofia/L=Sofia/O=LCPE,+20University+20of+20Sofia/OU=LCPE+20Staff/CN=Vesselin+20Kolev /[EMAIL PROTECTED], cert-issuer=/C=BG/ST=Sofia/L=Sofia/O=LCPE,+20University+20of+20Sofia/OU=Net+20Division/CN=Vesselin+20Kolev/[EMAIL PROTECTED] # # STARTTLS=server ukazva na tova, che Sendmail uchastva v TLS sesia kato server # sled cipher e opianieto na izpolzvania kodirash algorithm # cert-subject opisva poletata na X.509 certificate ot strana na clienta # cert-issuer opisva poletata na X.509 certificate na izdatelia na certificate na clienta. # Nai-otgore stoi "verify=OK", koeto znachi, che certificate-a na clienta e potvyrden kato validen # Interesnoto tuk e, che clientyt ne e MTA, a e nai-obiknoven Netscape Messenger 4.78 nastroen # da izpolzva PKCS#12 # Mar 19 23:22:04 lcpe sendmail[10459]: h2JLLpAh010459: from=<[EMAIL PROTECTED]>, size=331, class=0, nrcpts=1, msgid=<[EMAIL PROTECTED]>, proto=ESMTP, daemon=MTA, relay=Mandrake.nat-lan.lcpe.pip.digsys.bg [193.68.191.198] Mar 19 23:22:04 lcpe sendmail[10461]: h2JLLpAh010459: SMTP outgoing connect on eth-out.backbone-1.lcpe.uni-sofia.bg Mar 19 23:22:04 lcpe sendmail[10461]: STARTTLS=client, init=1 Mar 19 23:22:04 lcpe sendmail[10461]: STARTTLS=client, start=ok Mar 19 23:22:04 lcpe sendmail[10461]: STARTTLS=client, relay=ns.lcpe.uni-sofia.bg., version=TLSv1/SSLv3, verify=OK, cipher=EDH-RSA-DES-CBC3-SHA, bits=168/168 Mar 19 23:22:04 lcpe sendmail[10461]: STARTTLS=client, cert-subject=/C=BG/ST=Sofia/L=Sofia/O=LCPE,+20University+20of+20Sofia/OU=Server+20Divisio
Re: lug-bg: TLS + MTA (malko teoria + praktika)
On 13 03 2003 12:04, Todor Belev wrote: > Vsyshnost, > tova koeto men lichno me kasae e ne principnia vypros che trebe da bydat > podpisani ot validno CA - sertifikat moje chovek da si generira sam. Iska > mi se da spedelia opit s hora, koito ne obmeniat mail potoci mejdu MTA, a > komunikaciata mejdu MTA i MUA. Sirech koi Mail klienti vladeiat prasthane > pres TLS kriptirana SMTP sesia, i kak po tochno naprimer v MS Outlook stava > importiraneto na sertifikat, ne podpisan ot CA. Opitite za takova > importirane na sertificat polzvan za secure SMTP na Postfix i MS Outlook > zasega sa neuspeshni. Za razlika ot naprimer sertifikatite za secure POP3 i > secure IMAP, koito se importiraha dosta uspeshno. Ima li niakoi opit s > Kmail, Evolution ili Sylpheed otnosno rabota s TLS MTA. Tozi vypros e star, no milq 4e ima otgovor za mail klientite KMail, Mozilla/Netscape (i Sytlpheed-{Claws}ima podobni vyzmozhnosti) v koito mogat da se import-vat sertificates, dori generirani i ot teb samiq ili nqkoj friend. Posle ako na MTA-to (s sertificates) mozhe da e ukazano da tretira klienta na bazatana sertificate-a - verify=ok, then politika, da re4em RELAY... Vyv vidovete sertificates i tehnite poleta i formati mozhe da se izgubi 4ovek... myka myka ;-) Onzi den Vesselin Kolev mi demonstrira tezi dejstviq za mail client/server, dori mi polse prati instructions, no tezi za clients sa encrypted & signed li4no do men, taka 4e ostavqm na nego da reshi da re-port-ne in public... -- printk(KERN_EMERG "Peace. No flames.", panic_timeout); mdelay(panic_timeout*1000); machine_restart(NULL); A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
Vapreki tochniat i izcherpatelen otgovor ot strana na V. Kolev iskam da dobavia 2 drebni neshta. On Thu, Mar 13, 2003 at 12:20:25PM +0200, Dancho Mitev wrote: > Wyzmovno li e da se izpolzwa samopodpisan sertifikat? > (pone za testowe? - predpolagam che da). > Wyzmovno li e da se izpolzwa syshtiqt sertifikat ot CA kojto se izpolzwa s > apache ili trqbwa da se kupuwa otdelen? Vapreki che moje da se izpolzva, tai kato certificate ne se izdava za usluga, a za host - triabva uslugite da sa na edin i sasht hostname! T.e. ako imenata sa www.something.com i mail.something.com, a certificate e izdaden za www.something.com, to email clientite shte se jalvat, che certificate ne e validen za mail.something.com. > Move li poluchatelq da razbere po nqkakyw nachin che mevdu dwata MTA > negowoto syobshtenie e bilo ( ili ne e bilo ) transferirano w kriptiran wid > s TLS? Eto taka izglejda pri qmail: ---> cut <--- Received: from dave.del.bg (HELO del.bg) ([EMAIL PROTECTED]) by mail.del.bg with RC4-MD5 encrypted SMTP; 19 Mar 2003 10:40:03 - ---> cut <--- Sas zdrave, -- Theodor MilkovHead Network Administrator Davidov Net Phone: +359 (2) 730158 A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
> > Taka... sega se konsultrirah s kolegi i nauchih slednoto. > > Sled kato certificate byde izdaden, toi stava validen za daden host. > A veche dali ti shte go prilagash kym edin ili druga usluga si e tvoia > rabota. Tova oznachava, che impd/SSL i smpt/TLS/SSL mogat da > sa s edin i syshti certificate. > > Po princip niama certificate za tochno opredelena usluga. Certificate > e vyv format i sledovatelno mozhe da se polzva vyv vsiaka usluga, > koiato poddryzha takyv format (v sluchaia X.509). > Blagodarq za towa che si si naprawil truda da se zainteresuwash. Towa naistina beshe wavno, Pri pyrwa wyzmovnost imash edna bira ot men. :-) A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 > Wyzmovno li e da se izpolzwa samopodpisan sertifikat? > (pone za testowe? - predpolagam che da). > Wyzmovno li e da se izpolzwa syshtiqt sertifikat ot CA kojto se izpolzwa s > apache ili trqbwa da se kupuwa otdelen? Taka... sega se konsultrirah s kolegi i nauchih slednoto. Sled kato certificate byde izdaden, toi stava validen za daden host. A veche dali ti shte go prilagash kym edin ili druga usluga si e tvoia rabota. Tova oznachava, che impd/SSL i smpt/TLS/SSL mogat da sa s edin i syshti certificate. Po princip niama certificate za tochno opredelena usluga. Certificate e vyv format i sledovatelno mozhe da se polzva vyv vsiaka usluga, koiato poddryzha takyv format (v sluchaia X.509). Pozdravi Vesselin Kolev -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+cH2d+48lZPXaa+MRAldKAJ9eoO/2Wxr/SjxnlrN4a6wmD1bpnQCdEc3F aWR1bShaBHBvAKqOyLbanPU= =7gRO -END PGP SIGNATURE- A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Oshte malko da prodylzha. On Thursday 13 Mar 2003 12:20, Dancho Mitev wrote: > Zdrasti, > Temata i na men mi e mnogo interesna. > Imam edin - dwa wyprosa: Mezhdu drugoto se usetih, che sega shte zavaliat vyprosi kak da si samopopdishem certificata. I za da ne otgovoriam lichno na vseki, dopisvam tova kato prodylzhenie na tozi thread. Predi vsichko e nuzhno da imate instaliran openssl. Zhelateno e posledna versia. Dobre e s neia da ste si compilirali i sendmail ili dr. MTA kakvoto polzvate za poddryzhka na STARTTLS. Lokiraite programata s which openssl Primerno pri men e v /usr/bin/ Stypka 1. Da si generirame secret key openssl genrsa 1024 > host.key Taka shte si generirate 1024 bitov kliuch po standart X.509 Stypka 2. Generirane na komplementaren kliuch (public key) openssl req -new -x509 -nodes -sha1 -days 365 -key host.key > host.cert Pri generiraneto shte poluchite vyprosi za popylvane na poletata s danni za pritezhatelia. Primerno az sym dal slednite danni Country Name (2 letter code) []:BG State or Province Name (full name) []:Sofia Locality Name (eg, city) []:Sofia Organization Name (eg, company) []:LCPE, University of Sofia Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:lcpe.uni-sofia.bg Email Address []:[EMAIL PROTECTED] Stypka 3. Zapazvame informaciata za kliucha v otdelen file za byrzo izvlichane pri nuzhda: openssl x509 -noout -fingerprint -text < host.cert > host.info Stypka 4. Syzdavame faila sys sertifikata: cat host.cert host.key > host.pem chmod 400 host.pem i go pravim chitaem samo za root i nikoi drug. Sled tova host.pem mozhete da kopirate vyv faila sendmail.pem cat host.pem > sendmail.pem ili v apache.pem i t.n Mislia, che s tova stana iasno.. Pozdravi Vesselin Kolev -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+cIDs+48lZPXaa+MRApwgAKDSdP+NXSqwB84yyEoZ1+2dxzxhpQCg3SaV rIPY8m6ZLj1AVWjDwKdlJXE= =zp5P -END PGP SIGNATURE- A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Zdravei i blagodaria za vyprosite. Tova sa naistina umestni vyprosi. On Thursday 13 Mar 2003 12:20, Dancho Mitev wrote: > Zdrasti, > Temata i na men mi e mnogo interesna. > Imam edin - dwa wyprosa: > > Wyzmovno li e da se izpolzwa samopodpisan sertifikat? > (pone za testowe? - predpolagam che da). > Wyzmovno li e da se izpolzwa syshtiqt sertifikat ot CA kojto se izpolzwa s > apache ili trqbwa da se kupuwa otdelen? > Po princip, ako ne si platish za da ti byde podpisan sertifikata ot strana na CA ti izpolzvash self-signed (samopodpisan) certificat. Razlika mezhdu certifikatite za apache i sendmail niama. Te sa X.509 PKI specifichni. Mislia obache, che imashe problemi ot chisto pravna gledna tochka za izpolzvaneto na edin certificate za niakolko uslugi. No naistina shte traibva da se pointeresuvam dopylnitelno za polozhenieto, kogato si si platil dali mozhesh da izpolzvash certificata za vsichki uslugi ili vlizash v niakakvi narushenia po dogovora. > > Move li poluchatelq da razbere po nqkakyw nachin che mevdu dwata MTA > negowoto syobshtenie e bilo ( ili ne e bilo ) transferirano w kriptiran wid > s TLS? > Da, razbira se, che mozhe. V headera na pismoto se otbeliazva tova. Eto ti e edin primer: === Return-Path: <[EMAIL PROTECTED]> Received: from lcpe.pip.digsys.bg ([193.68.0.202] verified) by dir.bg (CommuniGate Pro SMTP 4.0.6) with ESMTP-TLS id 16529586 for [EMAIL PROTECTED]; Thu, 11 Mar 2003 12:53:34 +0200 Received: from e-lib.vpn.lcpe.uni-sofia.bg (e-lib.vpn.lcpe.uni-sofia.bg [192.168.100.111]) (authenticated bits=0) by lcpe.uni-sofia.bg (8.12.8/8.12.8) with ESMTP id h2DCBJqF001950 (version=TLSv1/SSLv3 cipher=RC4-MD5 bits=128 verify=NO) for <[EMAIL PROTECTED]>; Thu, 13 Mar 2003 14:11:27 +0200 === V zhurnalnia file za MTA syshto se otbeliazva cialata sesia (razbira se informaciata zavisi ot tova kakyv debug level si zadal na syslog): Mar 13 14:11:19 lcpe sendmail[1950]: NOQUEUE: connect from e-lib.vpn.lcpe.uni-sofia.bg [192.168.100.111] Mar 13 14:11:19 lcpe sendmail[1950]: AUTH: available mech=PLAIN OTP LOGIN DIGEST-MD5 CRAM-MD5 ANONYMOUS, allowed mech=EXTERNAL LOGIN PLAIN Mar 13 14:11:19 lcpe sendmail[1950]: STARTTLS=server, relay=e-lib.vpn.lcpe.uni-sofia.bg [192.168.100.111], version=TLSv1/SSLv3, verify=NO, cipher=RC4-MD5, bits=128/128 Mar 13 14:11:19 lcpe sendmail[1950]: STARTTLS=server, cert-subject=, cert-issuer= Mar 13 14:11:19 lcpe sendmail[1950]: AUTH: available mech=PLAIN OTP LOGIN DIGEST-MD5 CRAM-MD5 ANONYMOUS, allowed mech=EXTERNAL LOGIN PLAIN Mar 13 14:11:27 lcpe sendmail[1950]: AUTH=server, relay=e-lib.vpn.lcpe.uni-sofia.bg [192.168.100.111], authid=vlk, mech=LOGIN, bits=0 Mar 13 14:11:27 lcpe sendmail[1950]: h2DCBJqF001950: from=<[EMAIL PROTECTED]>, size=402, class=0, nrcpts=1, msgid=<[EMAIL PROTECTED]>, proto=ESMTP, daemon=MTA, relay=e-lib.vpn.lcpe.uni-sofia.bg [192.168.100.111] Mar 13 14:11:29 lcpe sendmail[1953]: h2DCBJqF001950: SMTP outgoing connect on lcpe.uni-sofia.bg Mar 13 14:11:34 lcpe sendmail[1953]: STARTTLS: ClientCertFile missing Mar 13 14:11:34 lcpe sendmail[1953]: STARTTLS: ClientKeyFile missing Mar 13 14:11:34 lcpe sendmail[1953]: STARTTLS=client, init=1 Mar 13 14:11:34 lcpe sendmail[1953]: STARTTLS=client, start=ok Mar 13 14:11:35 lcpe sendmail[1953]: STARTTLS=client, relay=mail.dir.bg., version=TLSv1/SSLv3, verify=OK, cipher=DES-CBC3-SHA, bits=168/168 Mar 13 14:11:35 lcpe sendmail[1953]: STARTTLS=client, cert-subject=/C=BG/ST=Sofia/L=Sofia/O=Dir.bg+20AD/OU=secure+20development/CN=mail.dir.bg/[EMAIL PROTECTED], cert-issuer=/C=ZA/ST=Western+20Cape/L=Cape+20Town/O=Thawte+20Consulting+20cc/OU=Certification+20Services+20Division/CN=Thawte+20Server+20CA/ Mar 13 14:11:35 lcpe sendmail[1953]: AUTH=client, relay=mail.dir.bg., mech=, bits=0 Mar 13 14:11:36 lcpe sendmail[1953]: h2DCBJqF001950: to=<[EMAIL PROTECTED]>, ctladdr=<[EMAIL PROTECTED]> (1002/100), delay=00:00:09, xdelay=00:00:09, mailer=esmtp, pri=30397, relay=mail.dir.bg. [194.145.63.28], dsn=2.0.0, stat=Sent (16529986 message accepted for delivery) Mar 13 14:11:36 lcpe sendmail[1953]: h2DCBJqF001950: done; delay=00:00:09, ntries=1 > Blagodarq predwaritelno, > > Pozdrawi > > Dan > Nadiavam se:) Si poluchil ako ne izcherpatelna, to pone konkretna informacia. Mislia da publikuvam edin alpha document za izpolzvaneto na TLS sys sendmail. Stiga razbira se niakoi da ima nuzhda ot tova. Pozdravi Vesselin Kolev -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+cGSH+48lZPXaa+MRAtN0AKCB3Pv5YT5W/pncMOcYzQqUYu5RXACg9SvU r1doWmZ8wgQ+r0ZO+QGVsos= =zX1f -END PGP SIGNATURE- A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by
Re: lug-bg: TLS + MTA (malko teoria + praktika)
Zdrasti, Temata i na men mi e mnogo interesna. Imam edin - dwa wyprosa: - Original Message - From: "Vesselin Kolev" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: 13 2003 ?. 10:01 Subject: lug-bg: TLS + MTA (malko teoria + praktika) > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Zdraveite, > >Poluchih 3 pisma ot mnogo vyodusheveni hora, reshili da > prilagat TLS v svoite MTA (postfix, sendmail) sled edin moi > posting. > > Naistina, TLS predlaga kodirane na obmenianata mezhdu MTA > informacia. No ima i niakoi shematichni osobenosti, za koito > traibva da se dyrzhi smetka. > > Za da mozhe naistina vryzkata v kodirania si vid da e nadezhdna, > a sesiata dostoverna za priemashtia ia MTA, to e nuzhno da > imate podpisan ot CA sertifikat. Za tova razbira se, shte traibva Wyzmovno li e da se izpolzwa samopodpisan sertifikat? (pone za testowe? - predpolagam che da). Wyzmovno li e da se izpolzwa syshtiqt sertifikat ot CA kojto se izpolzwa s apache ili trqbwa da se kupuwa otdelen? > da se plati. No pyt tova mozhe da vi pozvoli da gradite RELAY > politika na nivo sertificat (t.e. vashiat MTA da e smart host samo > za takiva MTA, chiito certifikat vie ste opisali kato validen vyv > vashtata access lista). > > Za da mozhe mail potoka za edin domain da minava izcialo > po kodirana vryzka e neobhodimo vsichki MTA ukazani v MX > ierarhiata na domaina da poddyrzhat TLS, a syshto taka i > izprashtastia MTA da ima TLS poddryzhka. S edna duma v > detaili e malko slozhno. > > Razbira se, idealnoto reshenie, pri koeto mozhe da se izpolzva > TLS e kodirane na mail potoka mezhdu mail hubovete na edna > organizacia. Move li poluchatelq da razbere po nqkakyw nachin che mevdu dwata MTA negowoto syobshtenie e bilo ( ili ne e bilo ) transferirano w kriptiran wid s TLS? Blagodarq predwaritelno, Pozdrawi Dan A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: TLS + MTA (malko teoria + praktika)
Vsyshnost, tova koeto men lichno me kasae e ne principnia vypros che trebe da bydat podpisani ot validno CA - sertifikat moje chovek da si generira sam. Iska mi se da spedelia opit s hora, koito ne obmeniat mail potoci mejdu MTA, a komunikaciata mejdu MTA i MUA. Sirech koi Mail klienti vladeiat prasthane pres TLS kriptirana SMTP sesia, i kak po tochno naprimer v MS Outlook stava importiraneto na sertifikat, ne podpisan ot CA. Opitite za takova importirane na sertificat polzvan za secure SMTP na Postfix i MS Outlook zasega sa neuspeshni. Za razlika ot naprimer sertifikatite za secure POP3 i secure IMAP, koito se importiraha dosta uspeshno. Ima li niakoi opit s Kmail, Evolution ili Sylpheed otnosno rabota s TLS MTA. Todorin > Оригинално писмо >От: Vesselin Kolev [EMAIL PROTECTED] >Относно: lug-bg: TLS + MTA (malko teoria + praktika) >До: [EMAIL PROTECTED] >Изпратено на: 2003-03-13 10:15:02.0 >-- >-BEGIN PGP SIGNED MESSAGE- >Hash: SHA1 > >Zdraveite, > > Poluchih 3 pisma ot mnogo vyodusheveni hora, reshili da >prilagat TLS v svoite MTA (postfix, sendmail) sled edin moi >posting. > > Naistina, TLS predlaga kodirane na obmenianata mezhdu MTA >informacia. No ima i niakoi shematichni osobenosti, za koito >traibva da se dyrzhi smetka. > > Za da mozhe naistina vryzkata v kodirania si vid da e nadezhdna, >a sesiata dostoverna za priemashtia ia MTA, to e nuzhno da >imate podpisan ot CA sertifikat. Za tova razbira se, shte traibva >da se plati. No pyt tova mozhe da vi pozvoli da gradite RELAY >politika na nivo sertificat (t.e. vashiat MTA da e smart host samo >za takiva MTA, chiito certifikat vie ste opisali kato validen vyv >vashtata access lista). > > Za da mozhe mail potoka za edin domain da minava izcialo >po kodirana vryzka e neobhodimo vsichki MTA ukazani v MX >ierarhiata na domaina da poddyrzhat TLS, a syshto taka i >izprashtastia MTA da ima TLS poddryzhka. S edna duma v >detaili e malko slozhno. > > Razbira se, idealnoto reshenie, pri koeto mozhe da se izpolzva >TLS e kodirane na mail potoka mezhdu mail hubovete na edna >organizacia. > > Nuzhno e da se ima predvid, che niakoi MTA ne razbirat ot >TLSv1: > > # CommuniGate Pro 3.2.4 (and 3.2.3) > # CommuniGate Pro 3.3betaX > # InterChange v3.61.01 > > Ima problemi i s contactuvaneto sys MTA izpolzvashti RSARef, >ako izpolzvanite kliuchove sa po-golemi ot 1024 bita (posledniat >problem ne e chisto tehnologichen, no e tvyrde trudno da se obiasni >iasno, ima i politicheski otenyk). > > Razbira se, neka tova ne se vyzpriema kato obezsyrchavane ili >"gasene" na entusiazma na horata. Izpolzvaite TLS, uchete se da >si konfigurirate MTA s TLS poddryzhka, no vinagi otchitaite specifikata >na neshtata. > > Pozdravi i pozhelania za uspeh kym vsichki v izpozvaneto na TLS > >Vesselin Kolev >-BEGIN PGP SIGNATURE- >Version: GnuPG v1.2.1 (GNU/Linux) > >iD8DBQE+cDrc+48lZPXaa+MRAvGNAKDv1hIQvz9Yvp8kuVnIIiHXWE4GJACfYTkk >XRKW5Y8elbKZPr6rwX0syVk= >=VzIs >-END PGP SIGNATURE- > > >A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). >http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora >To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > > - http://www.AMSTEL.bg - Български отбор на финала на Шампионската лига! A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html