Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: Grumpa 23. 08. 2018, 10:48:04
-
Upgradoval jsem linuxový server na Debian Stretch a někteří klienti začali mít problém s poštou. Zjistili jsme, že jsou to stanice s Windows XP, které nejsou sto vyjednat už jakoukoliv šifru pro výměnu dat.
U Dovecotu (imap) jsem to vyřešil parametrem umožňujícím posílat hesla přes nezašifrovanou linku aspoň v lokální síti:
login_trusted_networks = 192.168.1.0/24
U Postfixu v main.cf - submission jsem změnil hodnotu parametru
#smtpd_tls_security_level=encrypt
smtpd_tls_security_level=may
Tedy, když vyjednávání STARTTLS nedopadne, zkus to bez šifrování.
U Dovecotu mě to tak moc nevadí, ale Submission je tam pro přihlašování i mimo lokání síť a tam mi vypínání šifrování přijde hodně špatné.
Máte prosím někdo zkušenosti s podobným prostředím a měli byste nějaký tip, jak to udělat bezpečněji?
Díky moc
-
1] zrusit WXP
2] zmenit mail klienty
3] pouzit mene bezpecne SSL misto STARTTLS
-
Máte prosím někdo zkušenosti s podobným prostředím a měli byste nějaký tip, jak to udělat bezpečněji?
Ano. Bezpečneji to uděláš, když se zbavíš mnoho let EoL-ed systému, který žádné bezpečné šifrování neumí používat.
-
Zjistili jsme, že jsou to stanice s Windows XP, které nejsou sto vyjednat už jakoukoliv šifru pro výměnu dat.
Jaký mailový klient?
-
1) Thunderbird na WXP umí i lepší šifrování. Ale ty máš Outlook Express / Outlook 2003 nebo tak něco, že?
2) Spusť na WXP socat (existuje i verze pro widle) a udělej forward z lokálního portu na TLS port mailserveru.
3) Na https://cipherli.st/ je napsáno jak zakázat starší šifry. Postupuj opačně.
-
Stari mail klienti urcite podporuji staticke ssl porty 993, 995 a 465. Otevri je na serveru a nastav je v klientech.
-
Stari mail klienti urcite podporuji staticke ssl porty 993, 995 a 465. Otevri je na serveru a nastav je v klientech.
Což ti bude zcela k hovnu, protože problém zůstane naprosto stejný - server a klient se nedohodnou na použitelném šifrování. ::)
-
1) Thunderbird na WXP umí i lepší šifrování. Ale ty máš Outlook Express / Outlook 2003 nebo tak něco, že?
2) Spusť na WXP socat (existuje i verze pro widle) a udělej forward z lokálního portu na TLS port mailserveru.
3) Na https://cipherli.st/ je napsáno jak zakázat starší šifry. Postupuj opačně.
Ad 1 - ano (OE je i dnes pro někoho nejlepší poštovní klient všech dob ;) 2, 3 - díky moc za tipy Už to projíždím. :)
Jinak je to bohužel o tom, že ta firma na upgrade HW a SW nemá peníze... Asi to nebude úplná výjimka.
-
Ad 1 - ano (OE je i dnes pro někoho nejlepší poštovní klient všech dob ;)
Jinak je to bohužel o tom, že ta firma na upgrade HW a SW nemá peníze... Asi to nebude úplná výjimka.
Aha, takže to jsou nějací zoufalci a Ty jim v rámci dobročinnosti chceš pomoci... To je šlechetné gesto.
Zvážil bych přechod na Thunderbird/Seamonkey. Používat prehistorický OE je o průser.
-
Nemá peníze na použité počítače za jednotky tisíc s Win10? Zkuste jim to doporučit. Gigacomputer, incomputer apod.