AUTHSMTP: Skillnad mellan sidversioner

Från Lysators datorhandbok, den ultimata referensen.
Hoppa till navigering Hoppa till sök
mIngen redigeringssammanfattning
Ingen redigeringssammanfattning
 
(12 mellanliggande sidversioner av 4 användare visas inte)
Rad 1: Rad 1:
===Vad?===
AUTHSMTP är en tjänst som gör det möjligt att på ett säkert sätt <b>skicka</b> mail via Lysators mailserver från datorer utanför Lysators nätverk.
AUTHSMTP är en tjänst som gör det möjligt att på ett säkert sätt <b>skicka</b> mail via Lysators mailserver från datorer utanför Lysators nätverk.


Rad 16: Rad 17:
Alternativ ett är att använda SMTP och STARTTLS. Detta fungerar både via den vanliga SMTP-porten (25) och port 26. Anledningen till att även port 26 kan användas är att många Internetoperatörer spärrar utgående trafik till port 25.
Alternativ ett är att använda SMTP och STARTTLS. Detta fungerar både via den vanliga SMTP-porten (25) och port 26. Anledningen till att även port 26 kan användas är att många Internetoperatörer spärrar utgående trafik till port 25.


Alternativ två är att använda SMTP över SSL via ssmtp-porten 465 samt SMTP AUTH för autentisering.
Alternativ två är att använda SMTP över TLS via ssmtp-porten 465 samt SMTP AUTH för autentisering.


Ett tredje alternativ är att köra klartextlösenord över vanlig okrypterad SMTP (port 25 eller 26) utan TLS. Detta är tillåtet, men inte rekomenderat.
Ett tredje alternativ är att köra klartextlösenord över vanlig okrypterad SMTP (port 25 eller 26) utan TLS. Detta är tillåtet, men inte rekomenderat.
Rad 22: Rad 23:
För autentisering används AUTH PLAIN med vanliga lysatoranvändarnamn och maillösenord.
För autentisering används AUTH PLAIN med vanliga lysatoranvändarnamn och maillösenord.


SSL-certifikatet som mailservern använder är signerat av [http://www.unit.liu.se/services/ca/ UNIT Best-Effort CA] och rootcertifikatet kan hämtas från deras sida.
SSL-certifikatet som mailservern använder är signerat av [https://www.liu.se/insidan/it/irt/certifikat LiU CA]. I korthet betyder det att du måste ha rootcertifikatet "/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root" installerat, det följer med vanliga webläsare/operativsystem så förmodligen finns det redan din maskin.


Hur man ställer in sitt mailprogram att använda detta varierar naturligtvis mellan olika program. Nedan kommer beskrivningar för några olika program.
Hur man ställer in sitt mailprogram att använda detta varierar naturligtvis mellan olika program. Nedan kommer beskrivningar för några olika program.


===Mozilla Thunderbird 1.0===
===Mozilla Thunderbird 1.0===
Gå in under menyn Edit-&gt;Account Settings-&gt;Outgoing Server(SMTP)
Ladda hem rootcertifikatet i PEM-format (beca-root-pem.crt) från UNITs sida.
* Server Name: mail.lysator.liu.se
* Port: 26
* Markera "Use name and password"
* User Name: Lysatoranvändarnamn
* Use secure connection: TLS


Välj menyn Edit-&gt;Account Settings-&gt;Outgoing Server(SMTP):
Server Name: mail.lysator.liu.se
Port: 26
Markera "Use name and password"
User Name: Lysatoranvändarnamn
Use secure connection: TLS

Välj Edit-&gt;Preferences-&gt;Advanced-&gt;Certificates-&gt;Manage Certificates-&gt;Authorities
Välj Import
Öppna filen beca-root-pem.crt som du laddade hem tidigare
Markera "Trust this CA to identify web sites."
Välj OK.
Klart!
Klart!


Rad 47: Rad 41:
Om man kör Postfix och vill använda authsmtp behöver man göra följande:
Om man kör Postfix och vill använda authsmtp behöver man göra följande:


Installera en [http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/ Postfix med TLS] och SASL-stöd. (<tt>apt-get install postfix-tls</tt> på Debian. Den version av postfix som finns i Debian Woody är dock för gammalt och kommer inte att fungera. [http://backports.org/ Backports.org] har en nyare version)
Installera en Postfix med TLS och SASL-stöd. (<tt>apt-get install postfix</tt> på modern Debian, <tt>postfix-tls</tt> på Debian Squeeze. Den version av postfix som finns i Debian Woody är för gammal och kommer inte att fungera, [http://backports.debian.org/ backports.debian.org] har en nyare version).


Lägg till följande rader i /etc/postfix/main.cf:
Lägg till följande rader i /etc/postfix/main.cf:


<tt>relayhost = [mail.lysator.liu.se]:26
<pre>relayhost = [mail.lysator.liu.se]:submission
smtp_sasl_auth_enable = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_use_tls = yes
smtp_use_tls = yes
smtp_tls_CApath = /etc/postfix/ssl/ca</tt>
smtp_tls_CApath = /etc/ssl/certs
</pre>


Om man vill vara helt säker på att ingenting någonsin skickas utan att använda TLS kan även lägga till smtp_enforce_tls = yes.
Om man vill vara helt säker på att ingenting någonsin skickas utan att använda TLS kan man även lägga till <tt>smtp_enforce_tls = yes</tt>.


<tt>smtp_sasl_security_options</tt> bör lämnas på standardvärdet <tt>noplaintext, noanonymous</tt> så att ditt lösen inte riskerar att föras över okrypterat om en förbindelse med TLS inte kan upprättas.
Skapa filen /etc/postfix/sasl_passwd med följande innehåll:
<tt>mail.lysator.liu.se &lt;Lysatoranvändarnamn&gt;:&lt;Maillösenord&gt;
Kör postmap /etc/postfix/sasl_passwd</tt>


Skapa filen /etc/postfix/sasl_passwd med följande innehåll:<br/>
Ladda hem rootcertifikatet i PEM-format (beca-root-pem.crt) från UNIT och byt namn på filen till någonting som slutar på .pem, t.ex. UNIT-Best-Effort-CA.pem.
<tt>[mail.lysator.liu.se]:submission &lt;Lysatoranvändarnamn&gt;:&lt;Maillösenord&gt;</tt><br/>
Kör <tt>postmap /etc/postfix/sasl_passwd</tt>


Bekräfta att /etc/ssl/certs innehåller AddTrust_External_Root.pem (kommer med paketet ca-certificates i Debian) och att
Flytta certifikatfilen till /etc/postfix/ssl/ca samt kör
c_rehash /etc/ssl/certs körts sedan det lades till. (I så fall pekar <tt>157753a5.?</tt> på certifikatet.)
c_rehash /etc/postfix/ssl/ca.


Om postfix körs chrootad (default på Debian) så lägg certifikatfilen i /var/spool/postfix/etc/postfix/ssl/ca i stället och låt /etc/postfix/ssl/ca vara en symlänk till den katalogen.
Om postfix körs chrootad (default på Debian) så lägg certifikatfilen i /var/spool/postfix/etc/postfix/ssl/ca i stället och peka ut den katalogen.


Om det mot förmodan inte fungerar nu så är ett bra tips vid felsökning att sätta smtp_tls_loglevel = 2 i main.cf vilket get lite mer i loggen. Mer dokumentation om Postfix/TLS finns [http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/doc/index.html här].
Om det mot förmodan inte fungerar nu så är ett bra tips vid felsökning att sätta <tt>smtp_tls_loglevel = 2</tt> i main.cf vilket get lite mer i loggen. Mer dokumentation om Postfix/[http://www.postfix.org/SASL_README.html SASL]/[http://www.postfix.org/TLS_README.html TLS].


[[Category:E-post]]
[[Category:E-post]]
[[Kategori:Instruktioner]]

Nuvarande version från 19 oktober 2014 kl. 12.29

Vad?

AUTHSMTP är en tjänst som gör det möjligt att på ett säkert sätt skicka mail via Lysators mailserver från datorer utanför Lysators nätverk.

Varför?

Några anledningar att vilja använda tjänsten kan vara:

  • Den lokala SMTP-servern fungerar dåligt.
  • Man litar mer på postmaster (at) lysator.liu.se än postmaster@sin.egen.isp.
  • Man vill inte skicka mail okrypterat på det lokala nät man befinner sig och den lokala SMTP-servern stödjer inte kryptering.
  • Man använder en laptop och vill slippa ändra inställningar i sitt mailprogram när man flyttar sig mellan olika nät.

Hur?

AUTHSMTP är en funktion i Lysators vanliga mailserver mail.lysator.liu.se, man kan dock använda den på flera olika sätt.

Alternativ ett är att använda SMTP och STARTTLS. Detta fungerar både via den vanliga SMTP-porten (25) och port 26. Anledningen till att även port 26 kan användas är att många Internetoperatörer spärrar utgående trafik till port 25.

Alternativ två är att använda SMTP över TLS via ssmtp-porten 465 samt SMTP AUTH för autentisering.

Ett tredje alternativ är att köra klartextlösenord över vanlig okrypterad SMTP (port 25 eller 26) utan TLS. Detta är tillåtet, men inte rekomenderat.

För autentisering används AUTH PLAIN med vanliga lysatoranvändarnamn och maillösenord.

SSL-certifikatet som mailservern använder är signerat av LiU CA. I korthet betyder det att du måste ha rootcertifikatet "/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root" installerat, det följer med vanliga webläsare/operativsystem så förmodligen finns det redan på din maskin.

Hur man ställer in sitt mailprogram att använda detta varierar naturligtvis mellan olika program. Nedan kommer beskrivningar för några olika program.

Mozilla Thunderbird 1.0

Gå in under menyn Edit->Account Settings->Outgoing Server(SMTP)

  • Server Name: mail.lysator.liu.se
  • Port: 26
  • Markera "Use name and password"
  • User Name: Lysatoranvändarnamn
  • Use secure connection: TLS

Klart!

Postfix

Om man kör Postfix och vill använda authsmtp behöver man göra följande:

Installera en Postfix med TLS och SASL-stöd. (apt-get install postfix på modern Debian, postfix-tls på Debian Squeeze. Den version av postfix som finns i Debian Woody är för gammal och kommer inte att fungera, backports.debian.org har en nyare version).

Lägg till följande rader i /etc/postfix/main.cf:

relayhost = [mail.lysator.liu.se]:submission
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_tls_security_options = noanonymous
smtp_use_tls = yes
smtp_tls_CApath = /etc/ssl/certs

Om man vill vara helt säker på att ingenting någonsin skickas utan att använda TLS kan man även lägga till smtp_enforce_tls = yes.

smtp_sasl_security_options bör lämnas på standardvärdet noplaintext, noanonymous så att ditt lösen inte riskerar att föras över okrypterat om en förbindelse med TLS inte kan upprättas.

Skapa filen /etc/postfix/sasl_passwd med följande innehåll:
[mail.lysator.liu.se]:submission <Lysatoranvändarnamn>:<Maillösenord>
Kör postmap /etc/postfix/sasl_passwd

Bekräfta att /etc/ssl/certs innehåller AddTrust_External_Root.pem (kommer med paketet ca-certificates i Debian) och att c_rehash /etc/ssl/certs körts sedan det lades till. (I så fall pekar 157753a5.? på certifikatet.)

Om postfix körs chrootad (default på Debian) så lägg certifikatfilen i /var/spool/postfix/etc/postfix/ssl/ca i stället och peka ut den katalogen.

Om det mot förmodan inte fungerar nu så är ett bra tips vid felsökning att sätta smtp_tls_loglevel = 2 i main.cf vilket get lite mer i loggen. Mer dokumentation om Postfix/SASL/TLS.