那些遇到过的问题

如何为 sendmail TLS_Rcpt 使用通配符?

Law*_*w29 9 email-server smtp sendmail tls

sendmail 允许对 TLS 对话设置一个限制。我想检查发送到 example.com 的消息是否发送到具有 *.messagelabs.com 证书的服务器。我想防范 DNS 欺骗和 MitM。如果 messagelabs 只有一台服务器,那会很容易:

TLS_Rcpt:example.com VERIFY:256+CN:mx.messagelabs.com
Run Code Online (Sandbox Code Playgroud)

然而,messagelabs 有许多服务器和不同服务器的集群,它们具有相同名称的唯一 IP 和证书。一切都很好,我只想检查我向其发送邮件的服务器是否已被认证为属于 messagelabs。

我试过了

TLS_Rcpt:example.com VERIFY:256+CN:messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:*.messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:.*.messagelabs.com
Run Code Online (Sandbox Code Playgroud)

但我得到了类似的错误

CN mail31.messagelabs.com does not match .*.messagelabs.com
Run Code Online (Sandbox Code Playgroud)

我怎样才能做到这一点?这是对我们的经常性请求(主要针对 TLS_Rcpt:example.com VERIFY:256+CN:*.example.com 等配置),所以我准备修改 sendmail.cf,但我无法理解

STLS_req
R $| $+         $@ OK
R<CN> $* $| <$+>                $: <CN:$&{TLS_Name}> $1 $| <$2>
R<CN:$&{cn_subject}> $* $| <$+>         $@ $>"TLS_req" $1 $| <$2>
R<CN:$+> $* $| <$-:$+>  $#error $@ $4 $: $3 " CN " $&{cn_subject} " does not match " $1
R<CS:$&{cert_subject}> $* $| <$+>       $@ $>"TLS_req" $1 $| <$2>
R<CS:$+> $* $| <$-:$+>  $#error $@ $4 $: $3 " Cert Subject " $&{cert_subject} " does not match " $1
R<CI:$&{cert_issuer}> $* $| <$+>        $@ $>"TLS_req" $1 $| <$2>
R<CI:$+> $* $| <$-:$+>  $#error $@ $4 $: $3 " Cert Issuer " $&{cert_issuer} " does not match " $1
ROK                     $@ OK
Run Code Online (Sandbox Code Playgroud)

Sendmail 8.14.7(即将升级到 8.15.2)。

AnF*_*nFi 1

使 sendmail.cf 存储${cn_subject},其中主机部分被剥离${cn1_subject}
它使得完成实施变得几乎微不足道。

警告:news:comp.mail.sendmail在非测试环境中部署之前请征求意见。它可能有效,但 sendmail 使避免“意外副作用”比我准备“投资”要困难得多。我用 sendmail-8.15.2 对它进行了“干测试”。

访问入口:

TLS_Rcpt:example.com VERIFY:256+CN1:messagelabs.com
Run Code Online (Sandbox Code Playgroud)

sendmail.mc 修复以支持上述条目

警告:记住行中左右两侧之间的 TAB (\t) R
通过.sendmail.mc 

define(`_LOCAL_TLS_RCPT_')dnl
LOCAL_RULESETS
SLocal_tls_rcpt
R$*     $: $&{cn_subject}
R$-.$+  $@ $(macro {cn1_subject}  $@ $2 $)
R$*     $@ $(macro {cn1_subject}  $@ $)    

# Ruleset continued
STLS_req
R<CN1:$&{cn1_subject}> $* $| <$+>               $@ $>"TLS_req" $1 $| <$2>
R<CN1:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " CN-1 " $&{cn_subject} " does not match " $1
ROK                     $@ OK
divert(0)dnl
Run Code Online (Sandbox Code Playgroud)

解释:

  1. 使Local_tls_rcpt规则集存储${cn_subject}中的“第一个点之前”部分被剥离${cn1_subject}
  2. 在规则集${cn1_subject}的“额外部分”中添加 CN1 前缀触发的检查TLS_req

用于测试它的示例脚本

#!/bin/sh
# -C sendmail-test.cf -- use non standard cf file
# -d60.5 -- trace (access) map lookus
# -d21.12 -- trace R lines rewriting 
sendmail -C sendmail-test.cf -bt -d60.5 <<END
.D{verify}OK
.D{cn_subject}mail31.messagelabs.com
.D{server_name}mail31.messagelabs.com
tls_rcpt user1@example.com
END
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

829 次

最近记录:

9 年,9 月 前
相关归档
linux上的后缀不发送邮件 7
告诉 sendmail 进行身份验证? 7
如何在 Java/JRE 级别在 TLS 1.0 和 SSL 3.0 之间切换? 7
如何通过 powershell 或命令提示符启动 SMTP virtualhost [SMTP Virtual Server #1] 6
谷歌应用程序 mx 记录的配置绑定 3
稍微改变一下 Exchange 2003 中的传出 SMTP 端口 3
适用于 Linux 的最轻量、基本的电子邮件服务器是什么? 2
我应该为反向 DNS PTR 记录使用哪个域? 2
从一台主机发送多域电子邮件时的 SPF 记录 0
通过 SES 的 Postfix 中继:需要 530 身份验证 0
难疑归档
Heartbleed:它是什么以及缓解它的选项是什么? 203
使用 -X 进行 ssh 连接时,“警告:不受信任的 X11 转发设置失败:未生成 xauth 密钥数据”是什么意思? 164
如何使用 iptables 进行端口转发? 126
如何在两台服务器之间快速复制大量文件 110
需要打开哪些防火墙端口以允许访问外部 git 存储库? 106
我应该怎么做才能确保 IIS 不会回收我的应用程序? 93
使用 Apache 2.2.3 (Debian) mod_proxy 和 Jetty 6.1.18 出现代理错误 502“原因:从远程服务器读取错误” 89
如何重命名 MySQL 数据库? 61
主机名 - 它们是关于什么的? 58
如何在 SSH 中删除严格的 RSA 密钥检查,这里有什么问题? 57