Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: naseptavac 18. 10. 2017, 12:57:44
-
Zdravim, mate nejake napady nebo jeste lepe zkusenosti, jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)? StartTLS udajne clientske certifikaty neumoznuje, pouzivate odesilani SMTPS (port 465)? Nebo neco jineho? Nejaky ssl tcp proxy reseni?
Dik
-
Jo a dulezita vec, nejde mi o reseni typu VPN. Apple iKramy permanentne bezici VPN dost vycerpava. Rucne na omezenou dobu nahazovana VPNka zas nebude akceptovana mou cilovkou.
Dik
-
StartTLS a klient musí ověřit serverový certifikát.
-
Zdravim, mate nejake napady nebo jeste lepe zkusenosti, jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)? StartTLS udajne clientske certifikaty neumoznuje, pouzivate odesilani SMTPS (port 465)? Nebo neco jineho? Nejaky ssl tcp proxy reseni?
Mělo by být podporováno: http://www.postfix.org/TLS_README.html#server_vrfy_client.
Jako proxy se dá použít nginx, zaměřte se na moduly ngx_mail_*
-
Pro zabránění MITM je potřeba, aby klient ověřoval certifikát serveru, ověření klientského certifikátu nepomůže. Používám msmtp, které ověřuje. Klientský certifikát tam mám nastavený taky.
-
Super, za trest si na tabuli napisu 100x "Overuj si tvrzeni z clanku v dokumentaci, debile!"
Dik moc vsem
PS a s tim overovanim certifikatu serveru mate jiste pravdu, ale ja bohuzel muzu na 100% vynucovat veci jen na strane serveru.
-
No je sice hezké, že jsi spokojený, ale MITM jsi tím nevyřešil ani nestížil. Takže příště si dej jako název tématu "Jak zapnout klientské certifikáty v Postfixu".
-
No je sice hezké, že jsi spokojený, ale MITM jsi tím nevyřešil ani nestížil. Takže příště si dej jako název tématu "Jak zapnout klientské certifikáty v Postfixu".
Pokud server ověřuje klientský certifikát, je to podle mě stejná operace, jako když klient ověřuje certifikát serveru. Obě operace by měly eliminovat riziko MITM (pokud nepředpokládám únik klíče klientského certifikátu, který pod kontrolou nemáte).
-
Pokud chcete chránit server, že přes něj nikdo bez certifikátu neodešle poštu, tak ano. Pokud, ale chcete zabezpečit, aby se MITM nemohl dostat k poště odesílané klientem, pak je to k ničemu. MITM mail převezme přečte/upraví a odešle přes jiný server, proti tomu sice může chránit DKIM/SFP, ale málokdo má tak restriktivní politku, aby byl mail úplně zahozen.
-
Pokud chcete chránit server, že přes něj nikdo bez certifikátu neodešle poštu, tak ano. Pokud, ale chcete zabezpečit, aby se MITM nemohl dostat k poště odesílané klientem, pak je to k ničemu. MITM mail převezme přečte/upraví a odešle přes jiný server, proti tomu sice může chránit DKIM/SFP, ale málokdo má tak restriktivní politku, aby byl mail úplně zahozen.
Bobanosi, cemu jsi presne nerozumel ve vetach
a) "jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)"
b) "ale ja bohuzel muzu na 100% vynucovat veci jen na strane serveru"
?
Zivot je tezkej, ja vim, ale pro zlepseni nalady muzes zkouknout neco veskrze pozitivniho - treba nejake porno.
-
Já tomu rozuměl dobře. Ale zavedení ověřování certifikátu na straně serveru MITM neeliminuje.
-
Já tomu rozuměl dobře. Ale zavedení ověřování certifikátu na straně serveru MITM neeliminuje.
Souhlas. A neeliminuje ani herpes. Ale eliminuje MITM pri prihlasovani k postfixu.
-
Úplně stejně jako to heslo. Takže opravdu ne.
-
Úplně stejně jako to heslo. Takže opravdu ne.
Nejsi ty pribuzny Jirsaka?
-
Teda ten certifikát, alespoň chrání před ukradením toho hesla, když používáte přes STARTTL jen PLAIN a podobně.
-
Teda ten certifikát, alespoň chrání před ukradením toho hesla, když používáte přes STARTTL jen PLAIN a podobně.
To rozhodne nechrani (bez overovani certifikatu serveru ti ho MUA v klidu posle)
Ale to nam pozitivne naladenym vubec nevadi :)
-
No asi by stálo za to si nastudovat jak funguje STARTTLS a třeba DIGEST-MD5, asi budeš překvapen, že heslo se po síti neposílá. Ale už je tu nuda, jdu hledat jiné povyražení.