Я хочу отклонить все подключения, в которых отсутствует действующий сертификат SSL / TLS. Прежде всего, нужно ли изменять файл базы данных доступа?
Я уже пробовал использовать основное правило, приведенное в документации
CertIssuer: /C=US/ST=California/O=endmail.org/OU=private/CN= Darth+20Mail+20+28Cert+29/Email=darth+2Bcert@endmail.org РЕЛЕ
Очевидно, после этого потребуется правило для фильтрации и отклонения всего, что не представляет сертификат? Есть ли у кого-нибудь указания относительно того, какой синтаксис мне следует использовать? подстановочные знаки?
lxg
http://www.linuxjournal.com/article/4823
Обратите внимание, что неразумно заставлять всех клиентов SMTP использовать TLS, поскольку это еще не широко распространено. В документе RFC отмечается, что общедоступные SMTP-серверы, такие как серверы MX для домена, не должны отклонять соединения, отличные от TLS. Однако SMTP-серверы с ограниченным доступом, например, для корпоративной интрасети, могут использовать TLS в качестве механизма контроля доступа.
Если вы удалите PLAIN из sendmail.mc, это должно сработать:
TRUST_AUTH_MECH('EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define('confAUTH_MECHANISMS', 'EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
затем перестройте sendmail.cf с m4.
Думаю, я понял это .. старый добрый О'Рейли ..
Мне просто нужно использовать:
TLS_Clt: VERIFY
TLS_Srv: VERIFY
Надеюсь, это исключит все недействительные сертификаты и все попытки небезопасного подключения.