ssh chaves públicas em vez de SASL para envio SMTP autenticado?

3

Atualmente, estou usando o postfix e o SASL no meu servidor pessoal para SMTP autenticado.

O servidor é puramente para meu uso pessoal e meus domínios pessoais, então eu prefiro ter algo mais simples baseado em chaves públicas ssh. Existe alguma solução desse tipo?

    
por shapr 09.02.2011 / 06:58

4 respostas

5

Embora não seja a autenticação pubkey do SSH (que é algo que só existe no protocolo SSH, não no SMTP), você pode configurar Certificados do cliente TLS . Isso exigirá um certificado SSL válido no lado do cliente.

Além disso, se você precisar usar os pubkeys do SSH, você pode simplesmente permitir todas as conexões de email do host local em seu servidor SMTP pessoal e configurar um túnel SSH via SSH para a porta 25 no servidor SMTP.

    
por 09.02.2011 / 15:16
1

Nada impede que o aplicativo em rede use chaves ssh para autenticação / criptografia, exceto que esses aplicativos precisam ser escritos para suportar isso (por exemplo, usando libssh). Você não diz qual o agente de usuário de e-mail que você usa nem o servidor SMTP ao qual ele se conecta, mas não é muito provável que ele ofereça suporte a ssh nativamente.

Mas é claro, você pode usar uma conexão ssh normal com seu servidor para criar um túnel para sessões SMTP. Isso, é claro, autentica os usuários em sua máquina, não em seu servidor SMTP, o que pode não ser o que você deseja. / p>     

por 09.02.2011 / 07:56
0

Os servidores SMTP geralmente não verificam os certificados SSL durante a conexão, mas os usam para criptografar o canal. Isso facilita a configuração com certificados autoassinados ou certificados de uma autoridade privada. (Certificados autoassinados são equivalentes a certificados ssh.) Eu uso o tinyCA para criar minha própria autoridade de certificação. Você pode usar tamanhos de chave de até 4096. Você deve usar um tamanho de pelo menos 2048.

MUAs (Agentes do Usuário de E-mail: Firefox, Outlook, etc) funcionam bem com certificados auto-assinados. Você precisa acertá-los pela primeira vez. Sugiro usar a porta de envio com startTLS e autenticação. Isso lhe dará um canal autenticado seguro.

Eu uso o Dovecot IMAP com startTLS usando certificados autoassinados para ler e-mails. O uso do IMAP fornece opções extras, como o uso de uma interface WebMail, além de um ou mais clientes.

    
por 10.02.2011 / 06:08
0

Configure seu servidor de e-mail para permitir retransmissão não autenticada do localhost e configure um túnel ssh para enviar e-mails.

ssh yourserver -L 8587:localhost:587

Isso encaminhará a porta local 8587 através de ssh para yourserver na porta 587 do seu servidor. Em seguida, configure seu cliente de e-mail para usar localhost port 8587 .

Embora eu ainda encorajasse você a deixar a autenticação SASL ativada.

    
por 10.02.2011 / 17:58

Tags