-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 20/08/2015 15:08, Victor Ustugov wrote: > Vsevolod Stakhov wrote: >> On 20/08/2015 14:12, [email protected] wrote: >>>> дампов и корок нет. выб поглядели ту кору, где оно падает, >>>> этож не сложно >> >>> По умолчанию при крэше exim не сохраняется coredump. Недавно в >>> англоязычной exim-users были жалобы на signal 11: >>> https://lists.exim.org/lurker/message/20150816.204206.150bc9eb.en.html >> >> >> >>> https://lists.exim.org/lurker/message/20150817.194612.40c782a6.en.html >> >>>> Переходил ли кто на 4.86? >> >>> 3 недели назад, signal 11 в mainlog нет, но трафик маленький. >>> FreeBSD 6 i386. >> >>> А сообщения об ошибках certificate verification в логе мне не >>> мешают. Это только предупреждения, письма проходят нормально. >>> В FreeBSD если exim использует openssl, то количество таких >>> сообщений можно уменьшить, установив порт ca_root_nss (если >>> openssl не из портов, а из base, то make config поставить >>> галочку "add symlink to /etc/ssl/cert.pem"). >> >> Возможно, следует добавить следующие две вещи в порт mail/exim: >> >> 1) зависимость от openssl должна быть жестко от openssl port, а >> не от openssl base > > Сева, а может лучше дать возможность выбора использования OpenSSL > из порта или из базовой системы.
Я считаю данную возможность, как и наличие openssl в базе - огромной ошибкой, из-за которой мы имеем огромное количество дырявых систем, которые не были бы дырявыми в случае openssl из портов/пакетов. Тут надежда только на pkg для base и на более вменяемую политику security updates. > понятное дело, что в свете событий последнего года или полутора > лучше использовать портовый. Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые дыры вносятся тоже постоянно, единственный вариант - это quaterly branches пакетов и немедленная реакция security officers на все найденные проблемы. > но может у кого-то будут объективные причины использовать базовый > OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то > куча остальных портов при сборке будут использовать именно его. Никаких *объективных* причин на это нет. К счастью, наши re@ и остальное коммьюнити уже согласны с этой точкой зрения (по поводу выноса openssl из base). >> 2) при включении зависимости от openssl включать зависимость от >> ca_root_nss > > а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" > вроде там по дефолту стоит. так что в этом случае предупреждений о > валидных сертификатах уже не будет в логах. > > но даже у крупных почтовых систем, даже при использовании > сертификатов, заверенных центрами сертификации, могут быть > предупреждения в логах. Но имя должно проверяться через DANE! Проверка сертификата через trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC. > на примере домена narod.ru > > # host -t mx narod.ru narod.ru mail is handled by 10 > mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. > narod.ru mail is handled by 10 mx3.yandex.ru. > > > смотрим Common Name сертификата на mx1.yandex.ru: > > > # true | openssl s_client -connect mx1.yandex.ru:25 -servername > mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -subject > > subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian > Federation/CN=mx.yandex.ru/[email protected] > > > а в CN указан не mx1.yandex.ru, а mx.yandex.ru > > смотрим синонимы: > > > # true | openssl s_client -connect mx1.yandex.ru:25 -servername > mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -text | grep -A 1 'Subject Alternative Name' > > X509v3 Subject Alternative Name: DNS:mx.yandex.ru, > DNS:mx.yandex.net > > > тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru > > > соответственно, в логах exim'а будут предупреждения о > несоответствии имени хоста MX'а и CN/Alternative Name сертификата: > "SSL verify error: certificate name mismatch". > > > у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru > используется сертификат, выписанный для mail.rambler.ru: > > > # true | openssl s_client -connect imx1.rambler.ru:25 -servername > imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -subject > > subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, > LLC/CN=mail.rambler.ru > > > список синонимов там выше крыши, но imx1.rambler.ru среди них нет: > > > # true | openssl s_client -connect mail.rambler.ru:25 -servername > mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout > -text | grep -A 1 'Subject Alternative Name' > > X509v3 Subject Alternative Name: DNS:pop.rambler.ru, > DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, > DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru > > > так что предупреждения в логах мы будем ещё долго вылавливать > > кстати, ты товарищей из rambler.ru по старой памяти не хочешь > подергать по этому вопросу? Я могу сказать, но шансы, что они перевыпишут свой сертификат не очень велики. Зато можно попробовать протолкнуть идею TLSA записей (что имеет свои проблемы, особенно если они не используют DNSSEC подписи). - -- Vsevolod Stakhov -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJV1k9gAAoJEAdke2eQCBQ3jooP/2CX2N0kRH1doHrcf46bExIp hJgJHq4jyEMD1RtvuF76ayOBQDey0cswLkLZB1AvuO1lkysxgWMBPvznucnuOkHU CzrgGxkzkuNwmpqjNVuIXytaMa9kt4flg0EIYBlulArMnWDclTsieS2hKrqbpPv9 41kwY5vtOtZAzC09HUj0eG8FNzJrCQhPJRyhFGxngl+5cCwRZeIqO7l+iPz9KIbe RTy/YwTBL8+kryX6sTH2cOCt0lm/PopPE8CyKoENAmzn298/aUowtLb+acf7VlBr jpZjknEJan/C2AJEkTuoFsI7S9lg/jXtAexNWgEstZt3ywn2F0lgRMjgqQoGJ4mU Bxsp2qB5ZW9Z7jfAaRStsAxSLl7/luw209AMR6GeM68/vA/xYfFRxBGAxe56x2vW ywWFlIAM4IG30zCAqnJ+cm13VJJRagOj9vhXDCa6VR89fSmPUhEx90mo0aiQ9ShU NR/kNGdxAKJXb7eBcaek3gZDL2Y8Xh7eZbSGBWDaHQzyw4sxmqVnc2IiWyqa3G8e EcOOut6qCsL+5r1Nf51HI2yK2mX2jgmoWrm4f7F3S2gNn3xsATV+o2O/3Je8QrO0 //y6pLUtRrgsi0381hjyaO+SSnWFkMSaYJ4T4rq0AMazZRQTmpCpdaYZYWUufh9U 9J2hFwE95KGFQK33YN/D =pUEn -----END PGP SIGNATURE----- _______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
