Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

Artem Chuprina r...@ran.pp.ru writes:

 Dmitrii Kashin - debian-russian@lists.debian.org  @ Sun, 23 Mar 2014 
 00:06:06 +0400:

   Хотя, конечно, правильно вопрос ставить иначе: если у меня из
   PGP-подписи уже извлекается достаточная информация для того, чтобы
   принять от меня и прорелеить письмо, то как бы _в этой ситуации_
   обойтись без TLS и пароля?
  
Для этого, во-первых, нужно перенести авторизацию с predata на data.
Со всем вытекающим негативом, о котором почему-то не подумалось.

  DK Это, конечно, неприятно. Но я вот думаю, что можно было бы, к примеру,
  DK сразу проверять поле from:, которое известно ещё на predata. Если
  DK нужного открытого ключа в связке нету, то можно сразу генерировать
  DK отлуп. Хотя, конечно, защита от DOS-атак явно не мой конёк.

 Поле From: на predata неизвестно.  На predata известен envelope sender,
 что не то же самое.

Ааа... Predata - это же всё то, что посылается туды-сюды до команды
data, так? И RCPT To: - это может быть совсем не то же самое, что и
какой-то там текст в заголовке To:, равно как и с MAIL From: та же самая
история.

Это плохо. Значит, надо делать ещё проверку уже после команды data, что
адреса соответствуют заявленным. Ну, не беда, в общем-то, раз уж всё
равно проверка подписи на этом этапе производится.

 И в какой-то ситуации это может оказаться очень неудобно, потому что
 подпись должна соответствовать как раз From:.

Долго думал, представить себе ситуации, когда Envelope sender и тот, что
указан в поле From:, и мне это к тому же нужно - не смог. Примерчик бы,
Артём.

 P.S. А еще твоя схема не защищает от атаки типа replay.  То есть, один
 раз поймав твое письмо, я смогу сколько угодно его релеить через тебя,
 меняя любые заголовки, включая envelope recipient, то есть реального
 получателя и наделать тебе таким способом гадостей.

Эээ, да, кстати... Я ведь подписываю только тело сообщения, так что
заголовки можно вообще любые подставить... DOS-атаки явно не мой конёк.

Можно поменять не только Envelope Recipient (RCPT TO:), но и вполне себе
To: и другие заголовки, которые есть в письме. Что печально, подписать
мы их не можем при отправке письма, потому как они будут изменяться при
дальнейшей пересылке.

И кстати, тут и ловить-то ничего не надо. Можно просто зайти в рассылку
и скопировать уже существующее сообщение.

Стало быть, надо писать дополнительные проверки этапа data. Иначе никак.


pgp4Z49L7_KgH.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

Artem Chuprina r...@ran.pp.ru writes:

   (телефон, разумеется, рутованный, MUA там все тот же гнус в чруте,
   технических проблем поднять MTA нет, но память не резиновая).  Там
   у меня, правда, в качестве sendmail настроен скрипт, который ходит
   на MX по ssh и подает там почту в stdin тамошнему sendmail.

  EB  Так получается ненадёжно: при отказе сети письмо теряется. А у меня
  EB  почта должна работать с надёжностью 99.99% или даже выше... :)

 Нет, так надежно.  Пока sendmail не завершился успешно, gnus не убивает
 письмо. 

Угу. А ещё, пока не завершится sendmail, весь Emacs висит в состоянии
ожидания, и ничего с ним нельзя сделать.

 И в качестве бонуса я сразу вижу, что письмо не ушло.  Поскольку
 телефон, в отличие от недобука, нередко бывает в ситуации подняли
 сеть на 10 минут за сутки-трое, мне актуально знать, что письмо
 уползло сразу, а не будет болтаться неотправленным еще трое суток.

Бонус сомнительный. Postfix же представляет замечательную команду mailq,
с помощью которой можно посмотреть, отправилось ли письмо. И если не
отправилось - восстановить сеть, а затем ввести mailq -q, что заставит
Postfix заняться отправкой всего добра немедленно.


pgpdbc6iNSuCt.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

Dmitrii Kashin - debian-russian@lists.debian.org  @ Sun, 23 Mar 2014 10:32:45 
+0400:

  И в какой-то ситуации это может оказаться очень неудобно, потому что
  подпись должна соответствовать как раз From:.

 DK Долго думал, представить себе ситуации, когда Envelope sender и тот, что
 DK указан в поле From:, и мне это к тому же нужно - не смог. Примерчик бы,
 DK Артём.

На этапе initial submission вряд ли, а вообще - если я пересылаю кому-то
твое подписанное письмо (с кочки зрения MUA - не forward, а именно
resend, а с точки зрения MTA - как раз forward), то envelope sender'ом у
него буду я, а письмо будет твое.  Письмо совершенно валидное, не
подделанное, повода его отвергать никакого.  Но envelope sender от from
отличается радикально.

  P.S. А еще твоя схема не защищает от атаки типа replay.  То есть, один
  раз поймав твое письмо, я смогу сколько угодно его релеить через тебя,
  меняя любые заголовки, включая envelope recipient, то есть реального
  получателя и наделать тебе таким способом гадостей.

 DK Эээ, да, кстати... Я ведь подписываю только тело сообщения, так что
 DK заголовки можно вообще любые подставить... DOS-атаки явно не мой конёк.

 DK Можно поменять не только Envelope Recipient (RCPT TO:), но и вполне себе
 DK To: и другие заголовки, которые есть в письме. Что печально, подписать
 DK мы их не можем при отправке письма, потому как они будут изменяться при
 DK дальнейшей пересылке.

 DK И кстати, тут и ловить-то ничего не надо. Можно просто зайти в рассылку
 DK и скопировать уже существующее сообщение.

 DK Стало быть, надо писать дополнительные проверки этапа data. Иначе никак.

Скорее всего, при попытке так пойти, ты сломаешь чего-нибудь в
нормальной работе почты.  Аналогично тому, как SPF на ровном месте
ломает все тот же вполне валидный resend.  Я сходу не соображу, что
именно, но в целом Женя Бердников прав, подпись - это все же механизм
для проверки в другом месте.

Подпись имеет смысл проверять на входящей корреспонденции.  Чтобы не
счесть случайно спамом письмо, подписанное известным корреспондентом.  А
на исходящей с ней получается криво.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/87vbv58c6x@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

Dmitrii Kashin - debian-russian@lists.debian.org  @ Sun, 23 Mar 2014 10:41:15 
+0400:

(телефон, разумеется, рутованный, MUA там все тот же гнус в чруте,
технических проблем поднять MTA нет, но память не резиновая).  Там
у меня, правда, в качестве sendmail настроен скрипт, который ходит
на MX по ssh и подает там почту в stdin тамошнему sendmail.
 
   EB  Так получается ненадёжно: при отказе сети письмо теряется. А у меня
   EB  почта должна работать с надёжностью 99.99% или даже выше... :)
 
  Нет, так надежно.  Пока sendmail не завершился успешно, gnus не убивает
  письмо. 

 DK Угу. А ещё, пока не завершится sendmail, весь Emacs висит в состоянии
 DK ожидания, и ничего с ним нельзя сделать.

Кажется, C-g все же помогает.  Впрочем, не уверен.

  И в качестве бонуса я сразу вижу, что письмо не ушло.  Поскольку
  телефон, в отличие от недобука, нередко бывает в ситуации подняли
  сеть на 10 минут за сутки-трое, мне актуально знать, что письмо
  уползло сразу, а не будет болтаться неотправленным еще трое суток.

 DK Бонус сомнительный. Postfix же представляет замечательную команду mailq,
 DK с помощью которой можно посмотреть, отправилось ли письмо. И если не
 DK отправилось - восстановить сеть, а затем ввести mailq -q, что заставит
 DK Postfix заняться отправкой всего добра немедленно.

Ключевое слово про бонус - сразу.  Там еще такая фигня, что экран
маленький, а с учетом экранной клавиатуры - очень маленький.  И лишнюю
команду набрать - тоже занятие.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/87r45t8c1r@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[Eugene Berdnikov]

On Sun, Mar 23, 2014 at 08:53:37AM +0400, Artem Chuprina wrote:
 Eugene Berdnikov - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 
 23:06:13 +0400:
   MTA нет, но память не резиновая).  Там у меня, правда, в качестве
   sendmail настроен скрипт, который ходит на MX по ssh и подает там почту
   в stdin тамошнему sendmail.
 
  EB  Так получается ненадёжно: при отказе сети письмо теряется. А у меня
  EB  почта должна работать с надёжностью 99.99% или даже выше... :)
 
 Нет, так надежно.  Пока sendmail не завершился успешно, gnus не убивает
 письмо.  И в качестве бонуса я сразу вижу, что письмо не ушло.

 Здесь возникают два вопроса: 1. не подвисает ли gnus до завершения
 процесса отправки, 2. если нет, как он индицирует ход процесса отправки
 и наличие писем в его внутренней очереди, если таковая есть.

 У меня в телефоне есть индикация очереди исходящих sms и индикация
 попыток отправки. Правда, очередь убогая: если sms-ку не удалось
 отправить, она просто сваливается в неотправленные и застревает там
 до пинка вручную. Тем не менее телефон никогда не зависает на отправке,
 и мне это кажется очень важным.

 Аналогичный функционал был бы полезен в телефоне и для почты. В любом
 случае я хотел бы и видеть состояние очереди, и быть уверенным в том,
 что почта (sms, etc) уйдёт при первой же возможности.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140323210447.gj31...@sie.protva.ru

Re: Авторизация на почтовом сервере.

[Eugene Berdnikov]

 2 Dmitrii Kashin

 В некоторых случаях наличие pgp-подписи письма может оказаться
 нежелательным. Например, если нужно послать письмо какому-то роботу,
 который может сломаться на разметке pgp. Или в каком-то списке
 рассылки наличие такой подписи могут посчитать моветоном... :)
 Тогда необходимость удаления подписи pgp в предложенной схеме
 авторизации по pgp станет настоящей головной болью.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140323212048.gk31...@sie.protva.ru

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

Eugene Berdnikov b...@protva.ru writes:

 On Sun, Mar 23, 2014 at 08:53:37AM +0400, Artem Chuprina wrote:
 Eugene Berdnikov - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 
 23:06:13 +0400:
   MTA нет, но память не резиновая).  Там у меня, правда, в качестве
   sendmail настроен скрипт, который ходит на MX по ssh и подает там почту
   в stdin тамошнему sendmail.
 
  EB  Так получается ненадёжно: при отказе сети письмо теряется. А у меня
  EB  почта должна работать с надёжностью 99.99% или даже выше... :)
 
 Нет, так надежно.  Пока sendmail не завершился успешно, gnus не убивает
 письмо.  И в качестве бонуса я сразу вижу, что письмо не ушло.

  Здесь возникают два вопроса: 1. не подвисает ли gnus до завершения
  процесса отправки, 2. если нет, как он индицирует ход процесса отправки
  и наличие писем в его внутренней очереди, если таковая есть.

Учитывая однозадачность индивида:
1. Ещё как подвисает.
2. Очереди нет и не предвидится.

  У меня в телефоне есть индикация очереди исходящих sms и индикация
  попыток отправки. Правда, очередь убогая: если sms-ку не удалось
  отправить, она просто сваливается в неотправленные и застревает там
  до пинка вручную. Тем не менее телефон никогда не зависает на отправке,
  и мне это кажется очень важным.

Подвисания Gnus решаются легко и просто. У нас есть (такое ощущение, что
универсальная) команда отмены C-g. Если письмо долго отправляется, то
скорее всего что-то пошло не так, и можно просто отменить
отправку. Тогда письмо останется в черновиках.

Или не останется. Надо иметь в виду, что это Emacs, и тут всё настолько
настраиваемо, что глаза на лоб лезут.

Я, правда, этим функционалом не пользуюсь, ибо встроенный в Gnus
sendmail очень уж тормозной, а на больших файлах - просто ложится.

  Аналогичный функционал был бы полезен в телефоне и для почты. В любом
  случае я хотел бы и видеть состояние очереди, и быть уверенным в том,
  что почта (sms, etc) уйдёт при первой же возможности.

Может, я что-то недопонял, час-то поздний, но раз уж у нас gnu/linux на
телефоне, хоть и в chroot'е, почему бы не поставить туда тот же Postfix
с его qmgr?


pgpQ2hfBSS7CI.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Eugene Berdnikov]

On Mon, Mar 24, 2014 at 02:54:42AM +0400, Dmitrii Kashin wrote:
 Может, я что-то недопонял, час-то поздний, но раз уж у нас gnu/linux на
 телефоне, хоть и в chroot'е, почему бы не поставить туда тот же Postfix
 с его qmgr?

 Postfix это большой тяжёлый MTA, ставить его в телефон для такой задачи
 как отправка одного письма -- явный перебор и пустая трата ресурсов.
 Для минималистской модели inetd + cron он по дизайну не приспособлен.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140324035133.gm31...@sie.protva.ru

Re: Авторизация на почтовом сервере.

[Victor Wagner]

On 2014.03.24 at 07:51:33 +0400, Eugene Berdnikov wrote:

 On Mon, Mar 24, 2014 at 02:54:42AM +0400, Dmitrii Kashin wrote:
  Может, я что-то недопонял, час-то поздний, но раз уж у нас gnu/linux на
  телефоне, хоть и в chroot'е, почему бы не поставить туда тот же Postfix
  с его qmgr?
 
  Postfix это большой тяжёлый MTA, ставить его в телефон для такой задачи

Прежде чем говорить о большом и тяжелом MTA стоит ps auxww сделать.
Вот у меня сейчас на десктопе каждый из 4 процессов постфикса имеет VSZ
не более 7Мб. А rss вообще смешной, в районе 2. И того, в памяти оно
занимает меньше места чем какой-нибудь Google Search или еще какая
мелкая GUI-шная фигня, которыми набит этот телефон. В общем и целом 3%
от гигабайтной памяти телефона.

GUI в наше время настолько прожорливее, чем реальная обработка почти
чего угодно, что утверждение про большой и толстый серверный софт надо
сразу подвергать сомнению. 

И на любом компьютере с GUI, будь  то десктопный Debian или андроидный
телефон, по умолчанию считать что сервер кушает пренебрежимо мало
ресурсов.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140324041921.ga26...@wagner.pp.ru

Re: Авторизация на почтовом сервере.

[ivan demakov]

On Saturday, March 22, 2014 02:40:50 Dmitrii Kashin wrote:
 Мне только что пришла в голову интересная мысль: авторизация на почтовом
 сервере неимоверно переусложнена. Я захожу на сервер, используя TLS для
 шифрования нашего с ним разговора, авторизуюсь по паролю, после чего

Ты меня конечно извини, но твой вопрос, для многих,  звучит примерно так:

Перед тем как отправить email, я исполняю шаманский обряд.
Почему бы не научить postfix понимать этот шаманский обряд?

Так то ничего,  но с чего ты решил что вообще все исполняют тот же самый 
обряд?

У меня вот, например, нет ни подписи ни сервера на который надо с паролем 
заходить.  C  чего бы postfix отбрасысвал мои письма?

-- 
ivan

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

ivan demakov - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 23:04:09 
+0700:

  Мне только что пришла в голову интересная мысль: авторизация на почтовом
  сервере неимоверно переусложнена. Я захожу на сервер, используя TLS для
  шифрования нашего с ним разговора, авторизуюсь по паролю, после чего

 id Ты меня конечно извини, но твой вопрос, для многих,  звучит примерно так:

 id Перед тем как отправить email, я исполняю шаманский обряд.
 id Почему бы не научить postfix понимать этот шаманский обряд?

 id Так то ничего,  но с чего ты решил что вообще все исполняют тот же самый 
 id обряд?

 id У меня вот, например, нет ни подписи ни сервера на который надо с паролем 
 id заходить.  C  чего бы postfix отбрасысвал мои письма?

Так он не предлагает обучать этому вообще все постфиксы.  Ему интересно
обучить свой.  И, очевидно, имеет в виду initial submission, а не вообще
любой SMTP-диалог.

Хотя, конечно, правильно вопрос ставить иначе: если у меня из
PGP-подписи уже извлекается достаточная информация для того, чтобы
принять от меня и прорелеить письмо, то как бы _в этой ситуации_
обойтись без TLS и пароля?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/87ha6q9mkj@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[Eugene Berdnikov]

On Sat, Mar 22, 2014 at 09:21:00PM +0400, Artem Chuprina wrote:
 ivan demakov - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 23:04:09 
 +0700:
 
   Мне только что пришла в голову интересная мысль: авторизация на почтовом
   сервере неимоверно переусложнена. Я захожу на сервер, используя TLS для
   шифрования нашего с ним разговора, авторизуюсь по паролю, после чего
...
  id У меня вот, например, нет ни подписи ни сервера на который надо с 
 паролем 
  id заходить.  C  чего бы postfix отбрасысвал мои письма?
 
 Так он не предлагает обучать этому вообще все постфиксы.  Ему интересно
 обучить свой.

 Наверное, то был риторический вопрос, чтобы товарищ подумал, зачем он
 так делает, и нужна ли ему вообще та переусложненная авторизация.

 Хотя, конечно, правильно вопрос ставить иначе: если у меня из
 PGP-подписи уже извлекается достаточная информация для того, чтобы
 принять от меня и прорелеить письмо, то как бы _в этой ситуации_
 обойтись без TLS и пароля?

 Для этого, во-первых, нужно перенести авторизацию с predata на data.
 Со всем вытекающим негативом, о котором почему-то не подумалось.

 Во-вторых, если уж решено выправить неимоверно переусложненную схему
 авторизации, почему не сделать это там, где технически это намного проще,
 на хосте-отправителе? Чай ничто не мешает запустить MTA на своей рабочей
 станции, и научить его авторизоваться при отправке через конторский MTA.
 А проверять PGP-подпись при приёме с интерфейса lo вроде незачем.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140322180135.gb31...@sie.protva.ru

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

Eugene Berdnikov - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 
22:01:35 +0400:

  Хотя, конечно, правильно вопрос ставить иначе: если у меня из
  PGP-подписи уже извлекается достаточная информация для того, чтобы
  принять от меня и прорелеить письмо, то как бы _в этой ситуации_
  обойтись без TLS и пароля?

 EB  Для этого, во-первых, нужно перенести авторизацию с predata на data.
 EB  Со всем вытекающим негативом, о котором почему-то не подумалось.

Тут ты, конечно, прав.  Но есть вариант схитрить.  Прежде чем пропускать
к стадии data, проверить, есть ли открытый ключ envelope-sender'а.  Если
нет - отправить лесом сразу.

Поскольку речь там идет явно о своем сервере, поток почты через него
небольшой, и перенести завершение авторизации на data, в общем, не
страшно.

 EB  Во-вторых, если уж решено выправить неимоверно переусложненную схему
 EB  авторизации, почему не сделать это там, где технически это намного проще,
 EB  на хосте-отправителе? Чай ничто не мешает запустить MTA на своей рабочей
 EB  станции, и научить его авторизоваться при отправке через конторский MTA.
 EB  А проверять PGP-подпись при приёме с интерфейса lo вроде незачем.

А тут ты прав лишь отчасти.  На недобуке у меня так и сделано.  А вот на
телефоне жаба душит держать в памяти MTA (телефон, разумеется,
рутованный, MUA там все тот же гнус в чруте, технических проблем поднять
MTA нет, но память не резиновая).  Там у меня, правда, в качестве
sendmail настроен скрипт, который ходит на MX по ssh и подает там почту
в stdin тамошнему sendmail.  Типа, так получается проще, чем настраивать
гнус на SMTPS.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/87d2he9ii9@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[ivan demakov]

On Saturday, March 22, 2014 21:21:00 Artem Chuprina wrote:
 
  id У меня вот, например, нет ни подписи ни сервера на который надо с
 паролем id заходить.  C  чего бы postfix отбрасысвал мои письма?
 
 Так он не предлагает обучать этому вообще все постфиксы.  Ему интересно
 обучить свой.  И, очевидно, имеет в виду initial submission, а не вообще
 любой SMTP-диалог.
 


Обучить личный посфик каким-то необычным трюкам можно.
Но если требуется совет, то неплохо бы обьяснить - а какие трюки-то?
Я например, не понял ничего - какой такой сервер  с паролями?
Догадайся мол сама.

-- 
ivan

Re: Авторизация на почтовом сервере.

[ivan demakov]

On Saturday, March 22, 2014 21:21:00 Artem Chuprina wrote:
 
 Хотя, конечно, правильно вопрос ставить иначе: если у меня из
 PGP-подписи уже извлекается достаточная информация для того, чтобы
 принять от меня и прорелеить письмо, то как бы _в этой ситуации_
 обойтись без TLS и пароля?

И кстати, я не большой спец по секьюрити, но вроде бы, электронная подпись как 
раз и придумана на тот случай, когда сервер с паролями вскрыт?

-- 
ivan

Re: Авторизация на почтовом сервере.

[Eugene Berdnikov]

On Sat, Mar 22, 2014 at 10:48:46PM +0400, Artem Chuprina wrote:
 А вот на телефоне жаба душит держать в памяти MTA

 А держать там в памяти inetd жаба не душит? Inetd умеет слушать
 и 25й, и 587й порт с минимальным потреблением ресурса RAM.
 Связка inetd + cron даёт полную функциональность MTA для аскетов.

 (телефон, разумеется,
 рутованный, MUA там все тот же гнус в чруте, технических проблем поднять
 MTA нет, но память не резиновая).  Там у меня, правда, в качестве
 sendmail настроен скрипт, который ходит на MX по ssh и подает там почту
 в stdin тамошнему sendmail.

 Так получается ненадёжно: при отказе сети письмо теряется. А у меня
 почта должна работать с надёжностью 99.99% или даже выше... :)
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140322190613.ge31...@sie.protva.ru

Re: Авторизация на почтовом сервере.

[Victor Wagner]

On 2014.03.22 at 02:40:50 +0400, Dmitrii Kashin wrote:

 
 Мне только что пришла в голову интересная мысль: авторизация на почтовом
 сервере неимоверно переусложнена. Я захожу на сервер, используя TLS для
 шифрования нашего с ним разговора, авторизуюсь по паролю, после чего

TLS вообще-то нужна не только для шифрования разговора, но и для того,
чтобы убедиться, что сервер ровно тот, за кого  себя выдаёт. Чтобы
случайно не скормить пароль кому-то совершенно постороннему.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20140322192517.ga23...@wagner.pp.ru

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

Eugene Berdnikov b...@protva.ru writes:

 Хотя, конечно, правильно вопрос ставить иначе: если у меня из
 PGP-подписи уже извлекается достаточная информация для того, чтобы
 принять от меня и прорелеить письмо, то как бы _в этой ситуации_
 обойтись без TLS и пароля?

  Для этого, во-первых, нужно перенести авторизацию с predata на data.
  Со всем вытекающим негативом, о котором почему-то не подумалось.

Это, конечно, неприятно. Но я вот думаю, что можно было бы, к примеру,
сразу проверять поле from:, которое известно ещё на predata. Если
нужного открытого ключа в связке нету, то можно сразу генерировать
отлуп. Хотя, конечно, защита от DOS-атак явно не мой конёк.

  Во-вторых, если уж решено выправить неимоверно переусложненную схему
  авторизации, почему не сделать это там, где технически это намного проще,
  на хосте-отправителе? Чай ничто не мешает запустить MTA на своей рабочей
  станции, и научить его авторизоваться при отправке через конторский MTA.
  А проверять PGP-подпись при приёме с интерфейса lo вроде незачем.

Хотите верьте, хотите нет, но сейчас у меня всё именно так и
работает. На всех машинах вертятся локальные Postfix и Dovecot. Postfix
пересылает всё на главный MTA mail.freehck.ru, а Dovecot у меня только
для того, чтобы было иметь локальную копию IMAP-ящика на рабочей машине,
да к тому же там ещё локальная почта до кучи складируется, что удобно:
мне скрипты каждую ночь пишут об обновлениях локального зеркала Debian и
сколько пакетов надо обновить.


pgputMRaQkKrP.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

ivan demakov ivan.dema...@gmail.com writes:

 On Saturday, March 22, 2014 02:40:50 Dmitrii Kashin wrote:
 Мне только что пришла в голову интересная мысль: авторизация на почтовом
 сервере неимоверно переусложнена. Я захожу на сервер, используя TLS для
 шифрования нашего с ним разговора, авторизуюсь по паролю, после чего

 Ты меня конечно извини, но твой вопрос, для многих,  звучит примерно так:

 Перед тем как отправить email, я исполняю шаманский обряд.
 Почему бы не научить postfix понимать этот шаманский обряд?

 Так то ничего,  но с чего ты решил что вообще все исполняют тот же самый 
 обряд?

Я скромно замечу, пожалуй, следующие два момента:
1) Мне нет никакого дела до всех. Я никого ни к чему не принуждаю.
2) Мне нет никакого дела до того, как звучит мой вопрос для многих.
Мне, вестимо, были интересны комментарии Артёма, Евгения, да и Витуса
вон тоже всегда интересно послушать. Ну и ещё тут некоторые люди
бывают...

 У меня вот, например, нет ни подписи ни сервера на который надо с паролем 
 заходить.  C  чего бы postfix отбрасысвал мои письма?

А вот это уже интересно. Ни подписи, ни сервера с авторизацией по
паролю? То есть у Вас либо отрытый релей, либо локальный MTA без
авторизации? А, нет, погодите. Вы же с Gmail. А там вроде авторизация
парольная. Поясните, что Вы имели в виду, пожалуйста.


pgpB6gqsBo6Lx.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

ivan demakov ivan.dema...@gmail.com writes:

 On Saturday, March 22, 2014 21:21:00 Artem Chuprina wrote:
 
 Хотя, конечно, правильно вопрос ставить иначе: если у меня из
 PGP-подписи уже извлекается достаточная информация для того, чтобы
 принять от меня и прорелеить письмо, то как бы _в этой ситуации_
 обойтись без TLS и пароля?

 И кстати, я не большой спец по секьюрити, но вроде бы, электронная подпись 
 как 
 раз и придумана на тот случай, когда сервер с паролями вскрыт?

Иван, электронная подпись служит для того же, для чего и обычная: для
идентификации человека, который её поставил. Пароли тут совершенно ни
при чём.

 Обучить личный посфик каким-то необычным трюкам можно.
 Но если требуется совет, то неплохо бы обьяснить - а какие трюки-то?
 Я например, не понял ничего - какой такой сервер  с паролями?
 Догадайся мол сама.

Опять же, Вы не разобрались в теме. Почитайте о ключах, многое станет
яснее. Я думаю, что многие из здесь присутствующих даже окажут Вам
посильную помощь в виде ответов на возникшие в результате этого чтения
вопросы.


pgpsEnornxSXH.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Mikhail A Antonov]

23.03.2014 00:06, Dmitrii Kashin пишет:
 Хотите верьте, хотите нет, но сейчас у меня всё именно так и работает.
 На всех машинах вертятся локальные Postfix и Dovecot. Postfix
 пересылает всё на главный MTA mail.freehck.ru, а Dovecot у меня только
 для того, чтобы было иметь локальную копию IMAP-ящика на рабочей
 машине, да к тому же там ещё локальная почта до кучи складируется, что
 удобно: мне скрипты каждую ночь пишут об обновлениях локального
 зеркала Debian и сколько пакетов надо обновить. 
Для того чтобы иметь локальную копию IMAP-ящика не надо ставить
IMAP-сервер на локальную машину.
Достаточно нормального MUA, который у себя может хранить кэш. В этом
случае при изменении подписки к папкам или изменения их
структуры\количества все изменения будут доступны сразу всем
IMAP-клиентам. Ну и фильтры одни на всех. Если используется что-то
sieve-подобное.


-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: Авторизация на почтовом сервере.

[Mikhail A Antonov]

23.03.2014 00:27, Dmitrii Kashin пишет:
 У меня вот, например, нет ни подписи ни сервера на который надо с паролем 
 заходить.  C  чего бы postfix отбрасысвал мои письма?
 А вот это уже интересно. Ни подписи, ни сервера с авторизацией по
 паролю? То есть у Вас либо отрытый релей, либо локальный MTA без
 авторизации? А, нет, погодите. Вы же с Gmail. А там вроде авторизация
 парольная. Поясните, что Вы имели в виду, пожалуйста.
Ты посмотри повнимательнее на заголовки.
Он не ходил на smtp гмыла чтобы отправить письмо.
Ну и локальный mta можно настроить чтобы он сам ходил и авторизовался на
гмыле

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: Авторизация на почтовом сервере.

[ivan demakov]

On Sunday, March 23, 2014 00:27:01 Dmitrii Kashin wrote:
 
 
 А вот это уже интересно. Ни подписи, ни сервера с авторизацией по
 паролю? То есть у Вас либо отрытый релей, либо локальный MTA без
 авторизации? А, нет, погодите. Вы же с Gmail. А там вроде авторизация
 парольная. Поясните, что Вы имели в виду, пожалуйста.


Вот такой я оригинал - пишу в поле from что захочу ;-)

-- 
ivan

Re: Авторизация на почтовом сервере.

[ivan demakov]

On Sunday, March 23, 2014 00:27:01 Dmitrii Kashin wrote:
 
 Я скромно замечу, пожалуй, следующие два момента:

челом бью барин,  незнал что тут тока для вас четверых рассылка ((

-- 
ivan

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

Mikhail A Antonov b...@solarnet.ru writes:

 Для того чтобы иметь локальную копию IMAP-ящика не надо ставить
 IMAP-сервер на локальную машину.

 Достаточно нормального MUA

У меня, как видите, Гнусь какая-то стоит. =)

Она очень хороша, но с IMAP пока работает как ненормальный MUA. Так
что держим IMAP-сервер.


pgplw3pufnqqk.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Dmitrii Kashin]

Mikhail A Antonov b...@solarnet.ru writes:

 23.03.2014 00:27, Dmitrii Kashin пишет:
 У меня вот, например, нет ни подписи ни сервера на который надо с паролем 
 заходить.  C  чего бы postfix отбрасысвал мои письма?
 А вот это уже интересно. Ни подписи, ни сервера с авторизацией по
 паролю? То есть у Вас либо отрытый релей, либо локальный MTA без
 авторизации? А, нет, погодите. Вы же с Gmail. А там вроде авторизация
 парольная. Поясните, что Вы имели в виду, пожалуйста.
 Ты посмотри повнимательнее на заголовки.
 Он не ходил на smtp гмыла чтобы отправить письмо.

А, точно. Он авторизуется на неком demakov.net. Потыкал его палочкой,
вроде не открытый релей.

 Ну и локальный mta можно настроить чтобы он сам ходил и авторизовался на
 гмыле

На гмыле-то? Проблемно, если у тебя более одного ящика. Он ведь
переписывает адрес в поле From: на тот, с которым связан аккаунт, под
которым ты авторизовался.


pgpFDSIFPfRIp.pgp
Description: PGP signature

Re: Авторизация на почтовом сервере.

[Mikhail A Antonov]

23.03.2014 01:07, Dmitrii Kashin пишет:
 Mikhail A Antonov b...@solarnet.ru writes:
 Ну и локальный mta можно настроить чтобы он сам ходил и авторизовался на
 гмыле
 На гмыле-то? Проблемно, если у тебя более одного ящика. Он ведь
 переписывает адрес в поле From: на тот, с которым связан аккаунт, под
 которым ты авторизовался.
Я предпочитаю не пользоваться гмылом совсем. По сему не знаю чего он там
на что заменяет. В общем случае локальный mta можно попросить
авторизоваться и отправить дальше письмо куда надо.


-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: Авторизация на почтовом сервере.

[ivan demakov]

On Sunday, March 23, 2014 00:32:51 Dmitrii Kashin wrote:
 
 Иван, электронная подпись служит для того же, для чего и обычная: для
 идентификации человека, который её поставил. Пароли тут совершенно ни
 при чём.
 

Блин.  Ну это же вы в первом сообщении говорили что авторизация переусложнена.
Достаточно мол подписи а пароли не нужны?  Так?

И тут же (этак свысока) обьясняете мне - что пароли и подписи - вещи 
совершенно разные.

Мне на память приходит замечательное изобретение бюрократии -- факсимиле ;-)

ps. все таки удержусь от дальнейших шуток ))

-- 
ivan

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

Eugene Berdnikov - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 
23:06:13 +0400:

  А вот на телефоне жаба душит держать в памяти MTA

 EB  А держать там в памяти inetd жаба не душит? Inetd умеет слушать
 EB  и 25й, и 587й порт с минимальным потреблением ресурса RAM.
 EB  Связка inetd + cron даёт полную функциональность MTA для аскетов.

В общем, тут ты тоже прав...

  (телефон, разумеется,
  рутованный, MUA там все тот же гнус в чруте, технических проблем поднять
  MTA нет, но память не резиновая).  Там у меня, правда, в качестве
  sendmail настроен скрипт, который ходит на MX по ssh и подает там почту
  в stdin тамошнему sendmail.

 EB  Так получается ненадёжно: при отказе сети письмо теряется. А у меня
 EB  почта должна работать с надёжностью 99.99% или даже выше... :)

Нет, так надежно.  Пока sendmail не завершился успешно, gnus не убивает
письмо.  И в качестве бонуса я сразу вижу, что письмо не ушло.
Поскольку телефон, в отличие от недобука, нередко бывает в ситуации
подняли сеть на 10 минут за сутки-трое, мне актуально знать, что
письмо уползло сразу, а не будет болтаться неотправленным еще трое
суток.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/878us1a52m@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

Dmitrii Kashin - debian-russian@lists.debian.org  @ Sun, 23 Mar 2014 00:06:06 
+0400:

  Хотя, конечно, правильно вопрос ставить иначе: если у меня из
  PGP-подписи уже извлекается достаточная информация для того, чтобы
  принять от меня и прорелеить письмо, то как бы _в этой ситуации_
  обойтись без TLS и пароля?
 
   Для этого, во-первых, нужно перенести авторизацию с predata на data.
   Со всем вытекающим негативом, о котором почему-то не подумалось.

 DK Это, конечно, неприятно. Но я вот думаю, что можно было бы, к примеру,
 DK сразу проверять поле from:, которое известно ещё на predata. Если
 DK нужного открытого ключа в связке нету, то можно сразу генерировать
 DK отлуп. Хотя, конечно, защита от DOS-атак явно не мой конёк.

Поле From: на predata неизвестно.  На predata известен envelope sender,
что не то же самое.  И в какой-то ситуации это может оказаться очень
неудобно, потому что подпись должна соответствовать как раз From:.

P.S. А еще твоя схема не защищает от атаки типа replay.  То есть, один
раз поймав твое письмо, я смогу сколько угодно его релеить через тебя,
меняя любые заголовки, включая envelope recipient, то есть реального
получателя и наделать тебе таким способом гадостей.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/874n2pa4qc@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

ivan demakov - debian-russian@lists.debian.org  @ Sun, 23 Mar 2014 01:49:53 
+0700:

 id Но если требуется совет, то неплохо бы обьяснить - а какие трюки-то?
 id Я например, не понял ничего - какой такой сервер  с паролями?
 id Догадайся мол сама.

Те, чей ответ его интересовал, прекрасно поняли вопрос :) При наличии
достаточных знаний для ответа вопрос вполне понятен.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/87zjkh8q3c@wizzle.ran.pp.ru

Re: Авторизация на почтовом сервере.

[Artem Chuprina]

Dmitrii Kashin - debian-russian@lists.debian.org  @ Sat, 22 Mar 2014 02:40:50 
+0400:

 DK Мне только что пришла в голову интересная мысль: авторизация на почтовом
 DK сервере неимоверно переусложнена. Я захожу на сервер, используя TLS для
 DK шифрования нашего с ним разговора, авторизуюсь по паролю, после чего
 DK только посылаю письмо. Но зачем так всё усложнять? Каждое моё сообщение
 DK подписано моим PGP-ключом. Так почему бы Postfix просто не действовать
 DK так:
 DK 1) Если у сообщения нет подписи - сразу отбросить.
 DK 2) Если есть - проверить наличие открытого ключа, соответствующего
 DK адресу в поле From:, в связке Postfix.
 DK 3) Если ключа нет - отбросить, если есть - проверить им подпись.
 DK 4) Если проверка не пройдена - отбросить, если пройдена - пропустить.

 DK Так вот, беглый поиск в вебе не дал ответа, реализовано ли уже
 DK подобное. Потому хочу узнать у сообщества, не знает ли кто о таком.

Я бы сказал, что конкретно postfix для такой конструкции имеет не
слишком удобную архитектуру.  Скорее, будет удобнее exim.

А так сделать это несложно.  Просто очень мало кому нужно, потому что
вынуждает _всех_ пользователей данного сервера подписывать _все_ свои
письма.  Поэтому готового решения нет, но велосипед изобрести легко.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/87ppleaihh@wizzle.ran.pp.ru