Postfix, Dovecot a klienti na Windows XP

[Grumpa]

Upgradoval jsem linuxový server na Debian Stretch a někteří klienti začali mít problém s poštou. Zjistili jsme, že jsou to stanice s Windows XP, které nejsou sto vyjednat už jakoukoliv šifru pro výměnu dat.

U Dovecotu (imap) jsem to vyřešil parametrem umožňujícím posílat hesla přes nezašifrovanou linku aspoň v lokální síti:

Kód: [Vybrat]

login_trusted_networks = 192.168.1.0/24
U Postfixu v main.cf - submission jsem změnil hodnotu parametru

Kód: [Vybrat]

#smtpd_tls_security_level=encrypt
smtpd_tls_security_level=may

Tedy, když vyjednávání STARTTLS nedopadne, zkus to bez šifrování.

U Dovecotu mě to tak moc nevadí, ale Submission je tam pro přihlašování i mimo lokání síť a tam mi vypínání šifrování přijde hodně špatné.

Máte prosím někdo zkušenosti s podobným prostředím a měli byste nějaký tip, jak to udělat bezpečněji?

Díky moc

[Reklama]

[MP]

1] zrusit WXP
2] zmenit mail klienty
3] pouzit mene bezpecne SSL misto STARTTLS

[Lol Phirae]

Máte prosím někdo zkušenosti s podobným prostředím a měli byste nějaký tip, jak to udělat bezpečněji?

Ano. Bezpečneji to uděláš, když se zbavíš mnoho let EoL-ed systému, který žádné bezpečné šifrování neumí používat.

[daemon]

Zjistili jsme, že jsou to stanice s Windows XP, které nejsou sto vyjednat už jakoukoliv šifru pro výměnu dat.

Jaký mailový klient?

[Jenda]

1) Thunderbird na WXP umí i lepší šifrování. Ale ty máš Outlook Express / Outlook 2003 nebo tak něco, že?

2) Spusť na WXP socat (existuje i verze pro widle) a udělej forward z lokálního portu na TLS port mailserveru.

3) Na https://cipherli.st/ je napsáno jak zakázat starší šifry. Postupuj opačně.

[Reklama]

[Fantomas]

Stari mail klienti urcite podporuji staticke ssl porty 993, 995 a 465. Otevri je na serveru a nastav je v klientech.

[Lol Phirae]

Stari mail klienti urcite podporuji staticke ssl porty 993, 995 a 465. Otevri je na serveru a nastav je v klientech.

Což ti bude zcela k hovnu, protože problém zůstane naprosto stejný - server a klient se nedohodnou na použitelném šifrování. 

[Grumpa]

1) Thunderbird na WXP umí i lepší šifrování. Ale ty máš Outlook Express / Outlook 2003 nebo tak něco, že?

2) Spusť na WXP socat (existuje i verze pro widle) a udělej forward z lokálního portu na TLS port mailserveru.

3) Na https://cipherli.st/ je napsáno jak zakázat starší šifry. Postupuj opačně.

Ad 1 - ano (OE je i dnes pro někoho nejlepší poštovní klient všech dob 2, 3 - díky moc za tipy  Už to projíždím.

Jinak je to bohužel o tom, že ta firma na upgrade HW a SW nemá peníze... Asi to nebude úplná výjimka.

[daemon]

Ad 1 - ano (OE je i dnes pro někoho nejlepší poštovní klient všech dob

Jinak je to bohužel o tom, že ta firma na upgrade HW a SW nemá peníze... Asi to nebude úplná výjimka.

Aha, takže to jsou nějací zoufalci a Ty jim v rámci dobročinnosti chceš pomoci... To je šlechetné gesto.

Zvážil bych přechod na Thunderbird/Seamonkey. Používat prehistorický OE je o průser.

[David]

Nemá peníze na použité počítače za jednotky tisíc s Win10? Zkuste jim to doporučit. Gigacomputer, incomputer apod.