Что именно шифрует SSL/TLS в электронной почте?

0

2

Парни, в нашем узком кругу любителей Linux зашли споры по этой теме, поэтому нужен ваш надежный ответ на вопрос -

- а что, собственно, шифрует протоколы SSL/TLS - хидеры email, пароли для залогинивания на почтовом сервере, тело письма или что?

Имеется в виду, что у двух юзеров есть почтовые IMAPs/POP3s-клиенты, которые соединяется с соответствующими SMTPs-серверами, которые у них обычно бывают разными (например, GMail и MAIL.ru).

И тут возникает важный вопрос:
- если письмо на пути следования письма просматривается сторонним наблюдателем (например. провайдером), то ему будет доступно его содержание или нет?

Вопрос для безопасников наипростейший, но мы до сих пор не интересовались им и не знаем ответа и спорим до одурения.

PS. Вопросы хакерского взлома email здесь не рассматриваем, то совсем другая тема.

←	Утечка данных из ChatGPT

Opnsense клиенты OpenVPN не могут попасть LAN

→

← 1 2 →

Ответ на: комментарий от chukcha 05.04.23 17:58:20 MSK

Нет, оказалось, что тут даже знаток Постфикса не поможет :-(
Потому что попытался отравить на Rambler - так даже он отвергает отправляемые письма, а должен принимать без запинки.
Что-то тут не так в этой железяке...

chukcha ★★★★★
(05.04.23 21:36:55 MSK) автор топика

Ответ на: комментарий от sn4il 05.04.23 17:12:41 MSK

А подскажите, плиз, существует ли почтовый релей, который:
а) в настройке попроще, чем haproxy
б) в отличие от ssmtp / msmtp способен работать не на том же, а на другом, т.е. на удаленном хосте?

chukcha ★★★★★
(07.04.23 23:03:19 MSK) автор топика

Ответ на: комментарий от chukcha 07.04.23 23:03:19 MSK

Haproxy - это не релей, а прокси :) и мне, если честно, сложно представить что-то более простое в настройке.

Насчёт релеев не могу подсказать, пардон — единственное, что я настраивал неоднократно, это собственно postfix и если поднимать именно релей на соседнем компе, а не проксик, то я бы использовал его — благо, документации навалом.

sn4il ★
(08.04.23 10:44:09 MSK)

Ответ на: комментарий от sn4il 08.04.23 10:44:09 MSK

Прокся потребует VPN, так что лучше бы релей.
Ок, а как вам эта настройка - тут все правильно?

_https://vladimir-stupin.blogspot.com/2013/09/postfix.html

А то подобных статей по настройке Postfix как релея валом, но в них почему-то способы разные, что и настораживает.

chukcha ★★★★★
(08.04.23 19:03:38 MSK) автор топика

Ответ на: комментарий от chukcha 08.04.23 19:03:38 MSK

Да, вроде, адекватно выглядит. Главное наружу его не выставлять :)

sn4il ★
(08.04.23 20:04:46 MSK)

Ответ на: комментарий от sn4il 08.04.23 20:04:46 MSK

_https://www.linuxbabe.com/mail-server/postfix-smtp-relay-ubuntu-sendinblue ← вот тут ещё хороший пример, если нужно авторизацию на конечном серваке (для отправки вовне например, или для защиты от эксплуатации релея левыми чуваками в локальной сети, хотя тут, вроде, не тот случай.)

sn4il ★
(08.04.23 20:12:36 MSK)

Ответ на: комментарий от sn4il 08.04.23 20:04:46 MSK

Да, вроде, адекватно выглядит.

Точно? Имхо, он настроен совсем для другой задачи - для сбора писем, а не для отправки

_https://www.linuxbabe.com/mail-server/postfix-smtp-relay-ubuntu-sendinblue ← вот тут ещё хороший пример, если нужно авторизацию на конечном серваке

Да, есть еще пример, даже с картинками -

_https://yvision.kz/post/714756

Только задача одна, а эти рецепты почему-то все разные, и не знаешь, чему верить :-(

chukcha ★★★★★
(08.04.23 22:27:15 MSK) автор топика

Ответ на: комментарий от chukcha 08.04.23 22:27:15 MSK

Имхо, он настроен совсем для другой задачи - для сбора писем, а не для отправки

Для пересылки он настроен. Втупую, без разбора и авторизации, просто пересылать всё с локалхоста на другой сервак. Заменить в конфиге локалхост на локалсеть - и всё.

sn4il ★
(09.04.23 08:37:07 MSK)

Ответ на: комментарий от sn4il 09.04.23 08:37:07 MSK

Точно? А можешь ли с этим конфигом сделать так, чтобы он принимал по нешифрованному 25-м порту, а отправлял по шифрованному 465-му?

Или он это делает «из коробки»?

chukcha ★★★★★
(09.04.23 17:05:33 MSK) автор топика

Ответ на: комментарий от chukcha 09.04.23 17:05:33 MSK

В том конфиге, что по первой ссылке, такого нет. Надо добавить «smtp_tls_security_level = may», тогда он s2s трафик будет пытаться в шифрованном виде передавать. В том примере, что я кидал, оно тоже есть (как и авторизация на «вышестоящем» серваке).

sn4il ★
(09.04.23 20:52:42 MSK)

Ответ на: комментарий от sn4il 09.04.23 20:52:42 MSK

Похоже, ты неплохо разбираешься в этой теме! :=)
Давай так - у меня осталось немножко Юмоней, и если ты настроишь мне такой релей, мне не жалко будет отдать их знающему человеку.
Потому что если я и дальше буду пытаться решить эту проблему со своими знаниями, то потрачу на это уйму времени, и так уже дофига потратил.

chukcha ★★★★★
(09.04.23 21:12:56 MSK) автор топика

Ответ на: комментарий от chukcha 09.04.23 21:12:56 MSK

sn4il, похоже, ты еще не прочел мое заманчивое предложение, от которого невозможно отказаться? :=)

chukcha ★★★★★
(10.04.23 12:58:24 MSK) автор топика

Ответ на: комментарий от chukcha 10.04.23 12:58:24 MSK

Ага. Только щас прочёл. Думаю, лучше в Job написать, если хочешь, чтоб сделали быстро и за деньгу. Мне не до того будет в ближайшее время.

sn4il ★
(10.04.23 20:57:51 MSK)

Ответ на: комментарий от sn4il 10.04.23 20:57:51 MSK

Ладно, я пока попробую решить эту задачу совсем другим способом, без релея.
Если не получится - тогда уж точно в Job.

chukcha ★★★★★
(10.04.23 23:55:09 MSK) автор топика

← 1 2 →

←	Утечка данных из ChatGPT

Security

Opnsense клиенты OpenVPN не могут попасть LAN

→

Похожие темы