Autenticare un MTA smtp
Autenticare Postfix con i certificati digitali
Aggiungere in /etc/postfix/main.cf:
smtp_enforce_tls=yes smtp_tls_CAfile=/etc/ssl/certs/europki-ca-chain.pem smtp_tls_cert_file=/etc/ssl/certs/server.pem smtp_tls_key_file=/etc/ssl/private/server.key smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
Riavviare postfix e provare a spedire.
Note per postfix su macosx
Postfix è lanciato dal launchctl. Lo si può verificare con:
$ sudo launchctl list | grep postfix
Per arrestarlo:
sudo launchctl unload /System/Library/LaunchDaemons/org.postfix.master.plist
adesso lo si puo' lanciare a mano:
sudo postfix start
Se postfix non è mai stato configurato accertarsi che sia presente la riga
relayhost = smtp.unimore.it
Ricordarsi di reinserire postfix nel launchctl
Autenticare exim4 con i certificati digitali
Attenzione!
Su debian etch la autenticazione con i certificati digitali non funziona a causa di una qualche incompatibilità di gnutls.
Si può ricompilare exim4 con openssl con dpkg-buildpackage come workaround.
Come diagnosticare che il problema potrebbe essere questo
Aggiungere a main/90_exim4-config_log_selector (configurazione con molti file piccoli) in coda:
MAIN_LOG_SELECTOR == MAIN_LOG_SELECTOR +tls_certificate_verified
controllare che nel file di log /var/log/exim/mainlog compaia la entry CV=yes ad esempio:
2008-11-07 12:34:11 1KyPbK-0001u0-2b => francesco.malvezzi@unimore.it R=smarthost \ T=remote_smtp_smarthost H=smtp.unimore.it [155.185.1.3] X=TLSv1:DHE-RSA-AES256-SHA:256 \ CV=yes DN="/C=IT/O=Universita' di Modena e Reggio Emilia/OU=Ce.S.I.A./CN=smtp.unimore.it/serialNumber=183"
può essere utile lanciare
sudo exim -qf -v
dopo essersi assicurati di avere qualcosa in coda. I messaggi sospetti sono quelli che dicono che è fallita la verifica del certificato (invalid) e che non si è potuto stabilire lo StartTLS.
Come impedire che i pacchetti ricompilati vengano sovrascritti al primo aggiornamento
dpkg --set-selections exim4 hold exim4-base hold exim4-config hold exim4-daemon-light hold CTRL+d
Configurazione
Nel caso si sia scelta la configurazione "con molti file piccoli", editare /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost e aggiungere:
tls_certificate = /etc/exim4/exim.crt tls_privatekey = /etc/exim4/exim.key tls_verify_certificates = /etc/ssl/certs/europki-ca-chain.pem hosts_require_tls = *
in cui la chiave deve essere:
-rw-r----- 1 root Debian-exim 887 2008-11-06 13:54 /etc/exim4/exim.key
aggiungere in fondo a: /etc/exim4/conf.d/main/01_exim4-config_listmacrosdefs
MAIN_TLS_ENABLE = true
Riavviare il servizio con /etc/init.d/exim4 restart.
Controllare che le impostazioni siano state caricate con:
sudo exim -bP transport remote_smtp_smarthost
http://www.madboa.com/geek/exim4-ssl-client/
Autenticare sendmail con le password
Modificare /etc/mail/sendmail.mc aggiungere le righe prima della direttiva MAILER()
FEATURE(`authinfo')dnl define(`CERT_DIR', `/etc/ssl/certs')dnl define(`confCACERT', `CERT_DIR/europki-ca-chain.pem')dnl define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl
Assicurarsi di avere scaricato la europki-ca-chain.pem come descritto qui
Assicurarsi di aver settato la direttiva SMART_HOST come segue define(`SMART_HOST', `[smtp.unimore.it]')dnl
Editare il file /etc/mail/authinfo (crearlo se nn esiste) modificandolo come segue:
AuthInfo:smtp.unimore.it "U:root" "I:user" "P:passwd"
in cui dopo I: va scritto l'utente che si autentica, dopo P: la password
lanciare make
verificare che sia stato creato o aggiornato il file authinfo.db