Autentizace uživatelů postfixu

[X]

Ahoj, tuší někdo, jak vyřešit následující problém? Máte postfix mail server k němuž se připojují uživatelé (IMAPS, POP3S) z laptopů a smartphonů. Jak autentizovat nejen uživatele (login, heslo), ale také zařízení? Výsledkem by mělo být, že uživatelé smějí používat e-mail pouze na Vámi schváleném zařízení a nemohou si nastavit poštovního klienta např. na domácím PC nebo soukromém smartphonu.

Díky

[Reklama]

[MP]

Co takhle certifikat na strane klienta?

[Jimm]

Firewall?

[X]

Firewall?

A podle jakého kritéria by se měla provádět autentizace?

[X]

Co takhle certifikat na strane klienta?

Pokud pominu možnost, že by si uživatel vyexportoval certifikát do jiného zařízení, tak by to možná šlo...

[Reklama]

[Jimm]

Říká se tomu myslím IP adresa.

Firewall?

A podle jakého kritéria by se měla provádět autentizace?

[Jimm]

Všechny možnosti to pravda nepokrývá, ale jako nejzákladnější omezení pro smartphony by to šlo. Dokonale to podle mě neuděláš....

[X]

Říká se tomu myslím IP adresa.

Obávám se, že IP adresa u laptopů a smartphonů bude dost dynamická záležitost...

[alfi]

Pokud pominu možnost, že by si uživatel vyexportoval certifikát do jiného zařízení, tak by to možná šlo...

předpokladem je, že uživatel nemá na stroji roota. pokud má, potom se obávám, že to nejde :-) ještě možná nějaká proprietární binární aplikace, která nejspíš bude poslouchat na lokálním portu 25/465 a sama přeposílat dál a na kterou nikdo nezkusí dekompilaci

[Jimm]

Nevím jak to dnes řeší operátoři, ale já mám u svého paušálu aktuálně cca půl roku na mobilu stejnou.

[Jimm]

Tak to by ta proprietární aplikace mohla rovnou knocknout porty na tom vzdáleném stroji, ale to se dá opět vysledovat. Jak říkám, tak aby to nešlo obejít je to dle mého neřešitelné. Po pravdě k něčemu takovému ale ani nevidím důvod...

Pokud pominu možnost, že by si uživatel vyexportoval certifikát do jiného zařízení, tak by to možná šlo...

předpokladem je, že uživatel nemá na stroji roota. pokud má, potom se obávám, že to nejde :-) ještě možná nějaká proprietární binární aplikace, která nejspíš bude poslouchat na lokálním portu 25/465 a sama přeposílat dál a na kterou nikdo nezkusí dekompilaci

[alfi]

Nevím jak to dnes řeší operátoři, ale já mám u svého paušálu aktuálně cca půl roku na mobilu stejnou.

nj, ale přes mobil a hotspot/USB klidně připojím dalších 10 cizích počítačů.. to bych jako důvěryhodné omezení moc nebral :-)

Po pravdě k něčemu takovému ale ani nevidím důvod...

asi tak. buď je uživatel bez admina, dostane VPN a přístupy jen z interní sítě. nebo to nechám jen na hesle a případně striktní kontrole jména odesílatele - pokud někdo "půjčí" účet někomu dalšímu s rizikem, že bude psát emaily jeho jménem, potom je to především jeho problém. podobně, jako kdyby někomu dlouhodobě půjčil sim kartu :-)

[X]

Napadá někoho ještě nějaké jiné řešení, krom zmíněných certifikátů?

[Jimm]

A na poznámky o tom, že je to pravděpodobně hloupost autor ani nereaguje. Trošičku mi to připomíná bastliče http, co zabezpečovali svůj geniální výtvor varovnou tabulkou po kliknutí na pravé tlačítko myši.

[X]

A na poznámky o tom, že je to pravděpodobně hloupost autor ani nereaguje. Trošičku mi to připomíná bastliče http, co zabezpečovali svůj geniální výtvor varovnou tabulkou po kliknutí na pravé tlačítko myši.

Hodnocení smysluplnosti zadání je bez znalosti dalších aspektů většinou nesmyslné. Mnohdy je totiž zadání zadáním shora, nebo se jedná o dílčí část nějakého komplexnějšího problému atd.