AUTHSMTP
Vad?
AUTHSMTP är en tjänst som gör det möjligt att på ett säkert sätt skicka mail via Lysators mailserver från datorer utanför Lysators nätverk.
Varför?
Några anledningar att vilja använda tjänsten kan vara:
- Den lokala SMTP-servern fungerar dåligt.
- Man litar mer på postmaster (at) lysator.liu.se än postmaster@sin.egen.isp.
- Man vill inte skicka mail okrypterat på det lokala nät man befinner sig och den lokala SMTP-servern stödjer inte kryptering.
- Man använder en laptop och vill slippa ändra inställningar i sitt mailprogram när man flyttar sig mellan olika nät.
Hur?
AUTHSMTP är en funktion i Lysators vanliga mailserver mail.lysator.liu.se, man kan dock använda den på flera olika sätt.
Alternativ ett är att använda SMTP och STARTTLS. Detta fungerar både via den vanliga SMTP-porten (25) och port 26. Anledningen till att även port 26 kan användas är att många Internetoperatörer spärrar utgående trafik till port 25.
Alternativ två är att använda SMTP över SSL via ssmtp-porten 465 samt SMTP AUTH för autentisering.
Ett tredje alternativ är att köra klartextlösenord över vanlig okrypterad SMTP (port 25 eller 26) utan TLS. Detta är tillåtet, men inte rekomenderat.
För autentisering används AUTH PLAIN med vanliga lysatoranvändarnamn och maillösenord.
SSL-certifikatet som mailservern använder är signerat av | LiU CA. I korthet betyder det att du måste installera rootcertifikatet för | SwUPKI, men de bästa instruktionerna finns hos | LiU CA.
Hur man ställer in sitt mailprogram att använda detta varierar naturligtvis mellan olika program. Nedan kommer beskrivningar för några olika program.
Mozilla Thunderbird 1.0
Ladda hem rootcertifikatet i PEM-format enligt instruktionerna från | LiU CA.
Välj menyn Edit->Account Settings->Outgoing Server(SMTP): Server Name: mail.lysator.liu.se Port: 26 Markera "Use name and password" User Name: Lysatoranvändarnamn Use secure connection: TLS
Välj Edit->Preferences->Advanced->Certificates->Manage Certificates->Authorities Välj Import Öppna filen som du laddade hem tidigare Markera "Trust this CA to identify web sites." Välj OK. Klart!
Postfix
Om man kör Postfix och vill använda authsmtp behöver man göra följande:
Installera en Postfix med TLS och SASL-stöd. (apt-get install postfix-tls på Debian. Den version av postfix som finns i Debian Woody är dock för gammalt och kommer inte att fungera. Backports.org har en nyare version)
Lägg till följande rader i /etc/postfix/main.cf:
relayhost = [mail.lysator.liu.se]:26 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_use_tls = yes smtp_tls_CApath = /etc/postfix/ssl/ca
Om man vill vara helt säker på att ingenting någonsin skickas utan att använda TLS kan även lägga till smtp_enforce_tls = yes.
Skapa filen /etc/postfix/sasl_passwd med följande innehåll: mail.lysator.liu.se <Lysatoranvändarnamn>:<Maillösenord> Kör postmap /etc/postfix/sasl_passwd
Ladda hem rootcertifikatet i PEM-format |LiU CA. Se till att filnamnet slutar på .pem.
Flytta certifikatfilen till /etc/postfix/ssl/ca samt kör c_rehash /etc/postfix/ssl/ca.
Om postfix körs chrootad (default på Debian) så lägg certifikatfilen i /var/spool/postfix/etc/postfix/ssl/ca i stället och låt /etc/postfix/ssl/ca vara en symlänk till den katalogen.
Om det mot förmodan inte fungerar nu så är ett bra tips vid felsökning att sätta smtp_tls_loglevel = 2 i main.cf vilket get lite mer i loggen. Mer dokumentation om Postfix/TLS finns här.