Salve a tutti, sono alx ed inizio la mia collaborazione con 0×01.org approfondendo il solco gia’ tracciato da Meg circa la creazione di un sistema Postfix sicuro. Seguendo le indicazioni di Meg, siamo arrivati ad ottenere un server SMTP ad accesso controllato tramite SASL, in modo da impedirne l’utilizzo per relaying indesiderati e massivi. Come pero’ lo stesso Meg fa notare, la sicurezza presenta ancora lacune dato che tutto il traffico, incluso quello generato dalla procedura di autenticazione, si trova a transitare in chiaro per la rete, ghiottamente a disposizione del fetentone di turno. Come impedire che un brufoloso ragazzino dell’oklahoma si impossessi dei nostri username e password? La risposta si chiama TLS (Transport Layer Security), un protocollo di sicurezza derivato da SSL che consente, mediante l’utilizzo di certificati, di comunicare in maniera criptata, e che puo’ essere integrato nel nostro server Postfix. Come? E’ quello che provero’ a spiegare.
Innanzi tutto dobbiamo fare in modo che il nostro Postfix sia compilato con il supporto a SASL2 e a TLS, seguendo le ottime istruzioni Meg. Installato? Ok, adesso dobbiamo decidere come configurarlo: esistono infatti diverse possibili configurazioni, ciascuna con vantaggi e svantaggi. Proviamo a dargli una occhiata:
1) Smtpd in ascolto solo sulla porta 25, che gestisce sia il traffico SMTP “tradizionale” in chiaro (ad esempio la ricezione della posta o l’invio generato dalle reti locali, le mynetworks) che il traffico TLS per il resto del mondo. Questa soluzione presenta notevoli vantaggi di gestione (come l’utilizzo di una porta sola), ed ero ormai orientato a questo tipo di configurazione quando ho scoperto una controindicazione, per me bloccante, per spiegare la quale ho bisogno di addentrarmi un po’ nel mondo dello SMTP e del suo funzionamento:
quando un client contatta un server smtp richede la lista delle “extension” da questi supportate inoltrando il comando EHLO, e se tra tali estensioni e’ presente il TLS il server risponde con la riga, tra le altre, “250-STARTTLS”, che indica come il server sia pronto ad iniziare una sessione TLS. Il problema e’ che l’estensione STARTTLS non e’ standard SMTP, e ci sono alcuni firewall, come i Cisco PIX e Watchguard, che segano tutte le estensioni non standard (ad esempio il PIX sostituisce la parola STARTTLS con XXXXXXXA), mandando ovviamente nel panico il client (e i sistemisti!). Quindi se dovete accedere ad un Postfix TLS sulla porta 25, accertatevi di non doverlo mai fare da dietro un PIX, come invece e’ accaduto a me!
2) Smtpd in ascolto sulla porta 25 solo per il traffico SMTP “tradizionale” e su un’altra porta, la cosiddetta “submission port” (solitamente la 587) per il traffico TLS; in questa configurazione il comportamento del demone SMTPD in ascolto sulla 587 e’ assolutamente identico a quello sulla 25, con la differenza che il primo propone (ed accetta solamente) la creazione di una conessione TLS, ed il problema dei Cisco pare non persistere (pare che il mio PIX non mastichi il contenuto della porta 587).
3) Smtpd in ascolto sulla porta 25 sempre solo per il traffico SMTP “tradizionale” e su un’altra porta, questa volta solitamente la 465, utilizzando il protocollo SMTPS invece dello SMTP. La differenza con la configurazione precedente sta nel fatto che in questo secondo caso il canale protetto tra client e server viene stabilito prima che inizi la comunicazione SMTP, che in realta’ avviene successivamente all’interno di questo tunnel SSL (esattamente come avviene nello IMAPS o in tunneling SSH); utilizzando invece la configurazione 2), client e server si mettono in contatto in chiaro gia’ in SMTP e successivamente passano a TLS.
A questo punto, potrebbe venire spontaneo chiedersi quale differenza passi tra la 2) e la 3) ipotesi; beh, intanto e’ necessario vedere i client in nostro possesso quale di queste due configurazioni supportano (ad esempio Thunderbird le gestisce entrambe), dopo di che bisogna valutare il diverso modo con cui si espongono su internet: la 2) proclama al mondo la sua natura di demone SMTPD con conseguente probabile codazzo di tentativi di forzatura quotidiani, mentre la 3) e’ un po’ piu’ discreta e richiede un po’ piu’ di lavoro per essere identificata, ragion per cui, se il nostro scopo e’ fornire un accesso sicuro ad un gruppo selezionato di persone, la migliore soluzione e’ a mio avviso la 3) magari su di una porta diversa dallo standard 465; se invece vogliamo mantenere la massima apertura possibile perche’ non conosciamo gli skill e la compatibilita’ software chi ci usufruira’ del nostro servizio, possiamo tenere attive contemporaneamente la soluzione 2) e 3).
Taking viagra woman target google viagra order cheap 470. Erectile Dysfunction Due To Pain cheap gerneric viagra
generic viagra levitra and cialis pills Tell Me About Viagra can i take viagra
viagra how it works? Erectile Dysfunction And Weight herbal viagra forums
“snorting viagra health” Stiff Night Erectile Dysfunction viagra patent levitra
viagra anxiety Homeopathic Ed Treatment Taking viagra woman target google viagra order cheap 470.
cheap gerneric viagra Viagra Overnight generic viagra levitra and cialis pills
can i take viagra Trazadone Erectile Dysfunction viagra how it works?
herbal viagra forums Fake Viagra Prescription “snorting viagra health”
viagra patent levitra Buy Viagra In Canada viagra anxiety
Taking viagra woman target google viagra order cheap 470. Impotence Male Medication cheap gerneric viagra
generic viagra levitra and cialis pills Male Impotence Cure can i take viagra
viagra how it works? Causes Of Erectile Dysfunction In Young Men herbal viagra forums
“snorting viagra health” Viagra Effekter Biverkningar viagra patent levitra
viagra anxiety Ed Treatment Ny Taking viagra woman target google viagra order cheap 470.
cheap gerneric viagra Accupuncture For Male Impotence generic viagra levitra and cialis pills
can i take viagra Robin Williams Viagra viagra how it works?
herbal viagra forums Utah Erectile Dysfunction “snorting viagra health”
viagra patent levitra Viagra Profesional viagra anxiety
Taking viagra woman target google viagra order cheap 470. Buy Viagra Online cheap gerneric viagra
generic viagra levitra and cialis pills Purchase Viagra can i take viagra
viagra how it works? Where To Buy Viagra herbal viagra forums
“snorting viagra health” Information On Male Impotence viagra patent levitra
viagra anxiety Erectile Dysfunction Vitamins Taking viagra woman target google viagra order cheap 470.
cheap gerneric viagra What To Do For Erectile Dysfunction generic viagra levitra and cialis pills
can i take viagra Cheap Viagra Canada viagra how it works?
herbal viagra forums Erectile Dysfunction Teatment “snorting viagra health”
viagra patent levitra Erectile Dysfunction Cialis viagra anxiety
Taking viagra woman target google viagra order cheap 470. India Viagra Cialis Vicodin cheap gerneric viagra
generic viagra levitra and cialis pills How To Buy Viagra can i take viagra
viagra how it works? Viagra Women herbal viagra forums
“snorting viagra health” Causes Of Erectile Dysfunction viagra patent levitra
viagra anxiety Viagra Versus Cialis Taking viagra woman target google viagra order cheap 470.
cheap gerneric viagra Arb And Ed Treatment generic viagra levitra and cialis pills
can i take viagra Helping Male Impotence viagra how it works?
herbal viagra forums What Herbal Erectile Dysfunction Pills May Still Be Tainted “snorting viagra health”
viagra patent levitra Buy Viagra Order Viagra viagra anxiety
Taking viagra woman target google viagra order cheap 470. Viagra Jokes cheap gerneric viagra
generic viagra levitra and cialis pills Ray Sahelian On Herbal Treatments Ed can i take viagra
viagra how it works? Natural Remedies For Erectile Dysfunction herbal viagra forums
“snorting viagra health” Accutane Erectile Dysfunction viagra patent levitra
viagra anxiety Viagra Facts Taking viagra woman target google viagra order cheap 470.
cheap gerneric viagra Shelf Life For Viagra generic viagra levitra and cialis pills
can i take viagra How Erectile Dysfunction Affects Women viagra how it works?
herbal viagra forums Mexican Viagra “snorting viagra health”
viagra patent levitra Best Erectile Dysfunction Pill viagra anxiety
Taking viagra woman target google viagra order cheap 470. Erectile Dysfunction cheap gerneric viagra
generic viagra levitra and cialis pills Recreational Viagra Use can i take viagra
viagra how it works? Ed Treatment Natural herbal viagra forums
“snorting viagra health” Explore Advances In Male Impotence Treatments viagra patent levitra
viagra anxiety Q Buy Viagra Online Taking viagra woman target google viagra order cheap 470.
cheap gerneric viagra Is Viagra Dangerous generic viagra levitra and cialis pills
the best articles…
You made some good points there. I did a search on the super topic and found most people will agree with your blog Extra website Ezines Links Thanks!….