Jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)?

naseptavac

Zdravim, mate nejake napady nebo jeste lepe zkusenosti, jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)? StartTLS udajne clientske certifikaty neumoznuje, pouzivate odesilani SMTPS (port 465)? Nebo neco jineho? Nejaky ssl tcp proxy reseni?

Dik


naseptavac

Jo a dulezita vec, nejde mi o reseni typu VPN. Apple iKramy permanentne bezici VPN dost vycerpava. Rucne na omezenou dobu nahazovana VPNka zas nebude akceptovana mou cilovkou.

Dik

StartTLS a klient musí ověřit serverový certifikát.

Zdravim, mate nejake napady nebo jeste lepe zkusenosti, jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)? StartTLS udajne clientske certifikaty neumoznuje, pouzivate odesilani SMTPS (port 465)? Nebo neco jineho? Nejaky ssl tcp proxy reseni?

Mělo by být podporováno: http://www.postfix.org/TLS_README.html#server_vrfy_client.
Jako proxy se dá použít nginx, zaměřte se na moduly ngx_mail_*


ttt

Pro zabránění MITM je potřeba, aby klient ověřoval certifikát serveru, ověření klientského certifikátu nepomůže. Používám msmtp, které ověřuje. Klientský certifikát tam mám nastavený taky.


naseptavac

Super, za trest si na tabuli napisu 100x "Overuj si tvrzeni z clanku v dokumentaci, debile!"

Dik moc vsem

PS a s tim overovanim certifikatu serveru mate jiste pravdu, ale ja bohuzel muzu na 100% vynucovat veci jen na strane serveru.

Bobanos

No je sice hezké, že jsi spokojený, ale MITM jsi tím nevyřešil ani nestížil. Takže příště si dej jako název tématu "Jak zapnout klientské certifikáty v Postfixu".

No je sice hezké, že jsi spokojený, ale MITM jsi tím nevyřešil ani nestížil. Takže příště si dej jako název tématu "Jak zapnout klientské certifikáty v Postfixu".

Pokud server ověřuje klientský certifikát, je to podle mě stejná operace, jako když klient ověřuje certifikát serveru. Obě operace by měly eliminovat riziko MITM (pokud nepředpokládám únik klíče klientského certifikátu, který pod kontrolou nemáte).

Bobanos

Pokud chcete chránit server, že přes něj nikdo bez certifikátu neodešle poštu, tak ano. Pokud, ale chcete zabezpečit, aby se MITM nemohl dostat k poště odesílané klientem, pak je to k ničemu. MITM mail převezme přečte/upraví a odešle přes jiný server, proti tomu sice může chránit DKIM/SFP, ale málokdo má tak restriktivní politku, aby byl mail úplně zahozen.

naseptavac

Pokud chcete chránit server, že přes něj nikdo bez certifikátu neodešle poštu, tak ano. Pokud, ale chcete zabezpečit, aby se MITM nemohl dostat k poště odesílané klientem, pak je to k ničemu. MITM mail převezme přečte/upraví a odešle přes jiný server, proti tomu sice může chránit DKIM/SFP, ale málokdo má tak restriktivní politku, aby byl mail úplně zahozen.

Bobanosi, cemu jsi presne nerozumel ve vetach
a) "jak eliminovat MITM pri overovani hesla postfixem (pri odesilani emailu)"
b) "ale ja bohuzel muzu na 100% vynucovat veci jen na strane serveru"
?

Zivot je tezkej, ja vim, ale pro zlepseni nalady muzes zkouknout neco veskrze pozitivniho - treba nejake porno.

Bobanos

Já tomu rozuměl dobře. Ale zavedení ověřování certifikátu na straně serveru MITM neeliminuje.

naseptavac

Já tomu rozuměl dobře. Ale zavedení ověřování certifikátu na straně serveru MITM neeliminuje.

Souhlas. A neeliminuje ani herpes. Ale eliminuje MITM pri prihlasovani k postfixu.

Bobanos

Úplně stejně jako to heslo. Takže opravdu ne.

naseptavac

Úplně stejně jako to heslo. Takže opravdu ne.

Nejsi ty pribuzny Jirsaka?

Bobanos

Teda ten certifikát, alespoň chrání před ukradením toho hesla, když používáte přes STARTTL jen PLAIN a podobně.