Como desativar o STARTTLS para retransmissão interna de emails?

1

Eu li com interesse do guia do sendmail que é possível desativar o TLS. Eu tentei fazer isso para emails internos, adicionando as seguintes linhas em /etc/mail/access :

Try_TLS:my.server           NO
Try_TLS:localhost6.localdomain6         NO
Try_TLS:localhost.localdomain           NO
Try_TLS:localhost           NO
Try_TLS:127.0.0.1           NO

No entanto, parece que não funciona e ainda vejo o seguinte:

Received: from my.server (localhost6.localdomain6 [127.0.0.1])
    by my.server (8.14.8/8.14.8) with ESMTP id s6H2Wanf004005
    (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
    for <[email protected]>; Tue, 15 Jul 2014 10:32:36 +0000
Received: (from user@localhost)
    by my.server (8.14.8/8.14.8/client) id s6H2WZfQ004004
    for user; Tue, 15 Jul 2014 10:32:35 +0000

Alguma ideia?

    
por Question Overflow 17.07.2014 / 04:46

1 resposta

1

Existem várias configurações relacionadas ao TLS que você pode usar no mapa de acesso:

  • try_tls é usado quando o sendmail é um cliente (ou seja, enviando e-mail)
  • tls_srv se aplica a servidores, quando o sendmail é um cliente (por exemplo, enviando e-mail)
  • tls_clt se aplica a clientes, quando o sendmail é um servidor (por exemplo, aceitando email)
  • srv_features é usado quando o sendmail é um servidor (por exemplo, aceitando e-mail) e determina recursos para oferecer

srv_features determina quais recursos oferecer (no estágio EHLO), isso inclui STARTTLS e outras opções de protocolo, como PIPELINING, VERBose e AUTHenticate. Consulte o §5.1.4.15 do Guia de instalação e operação do Sendmail atual (PDF ) para detalhes.

tls_clt são as configurações relacionadas a TLS para sistemas de envio específicos, isso é usado para garantir que um nível mínimo de criptografia e / ou identidade (certificado de cliente) esteja em vigor no momento em que um email está sendo enviado. / p>

(Há também tls_rcpt para configurar com base no destinatário, geralmente é usado para impor a criptografia e não é tão útil aqui.)

Você parece ter editado seus cabeçalhos, mas eu assumo apenas os nomes de host, e você está enviando via sendmail no localhost. Neste set o cliente (MSP), um sendmail rodando como um programa de envio de email, usa submit.cf e por padrão que não tem suporte para nenhum mapa de acesso ativado .

O fluxo (desculpe a arte ASCII):

           (submit.cf)               (sendmail.cf)
 email →   sendmail-MSP →[127.0.0.1]→ sendmail    
                      ↗                ↕
          queue runner               access.db
           (submit.cf)

Então, você deve usar no mapa de acesso:

srv_features:127.0.0.1        S

O "S" em srv_features significa "não ofereça STARTTLS" (há alguns outros sinalizadores também, em relação à autenticação e certificados do cliente e mais), em seguida, reconstrua access.db com makemap .

Isso só será usado pelo daemon sendmail server (não a parte de envio, ou o seu runner de fila).

Você poderia adicionar FEATURE(access_db) ao seu submit.mc , mas isso não é algo para se fazer de ânimo leve. Consulte o link .

    
por 17.07.2014 / 12:01