-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Samo edno utochnenie,
Po princip v ca-bundle.crt se postaviat i samopodpisanite certificati na drugi mashini, s koito shte si komunikirash, ako i te sa samopodpisani. Po princip obache e nai-dobre da si syzdadesh svoia CA za tvoite mail hubove i clientite ti i da napravish taka, che clientite ti da mogat da relayvat prez tvoite mail hubove kydeto i da se namirat po sveta. Ideilologiata e prosta. Pravish si CA kakto e opisano v http://www.lcpe.uni-sofia.bg/linuxdoc/CA razdavash PKCS#12 certificatite na clientite si, te gi vgrazhdat v svoite mail clienti: KMail, Mozilla Mail, Netscape Mail i ne znam si oshte kakvi (mozhe i v Outlook Express) i chrez tiah relayvat na nivo authentikacia prez proizvolen host v internet (t.e.ne nuzhno v access_db da pravish poimenni ili poadresni opisania). Za poveche informacia procheti: http://www.lcpe.uni-sofia.bg/linuxdoc/sendmail/tls-relay.html Samo kato dopylnitelna extra.. s tezi certificati tvoite clienti mozhe da imat dostyp ne samo do mail-huba, te mozhe da gi zashtitavat pri iztegliane na poshtata im chrez POP3(SSL) ili IMAP(SSL) razshireni protokoli. Taka predotvratiavash "man-in-the-middle". Mozhesh i na bazata na certificates da izgradish i niva na dostyp kym informaciata v web-server. T.e. s PKCS#12 mozhesh da si napravish sistemata dostatychno sigurna i mozhesh da sledish dostypa s po-goliama tochnost, pak na bazata na certificate. Zashtoto niakoi mozhe da napravi lesno IP spoofing... no da generira syshtia certificate kato na clienta ti e tvyrde malko veroiatno (da ne kazha neveroiatno). Taka ako ima narushenie, ti mozhesh vednaga da kazhesh s goliama veroiatnost koi e proiavil svoevolie (naprimer prashtal e chrez RELAY politikata prez tvoia server spam i e imal glupostta da se udostoveri sys certificate). Ako napravish RELAY politikata samo na osnova certificate, pyrvo clientite ti shte sa dovolni, che polzvat kodirani kanali za prenos na poshta, vtoro niama da im stiska da probutvat spam prez teb, zashtoto mnogo lesno shte gi hvanesh. A iztriesh li im meta-infoto za certificate-a v access_db, shte zabraviat za relay izobshto. Tova e Pozdravi Vesselin Kolev -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+io18+48lZPXaa+MRAvggAJwJ1QdxMTQKdn2l0xRK7e+TcmtDGACg29zR ysA0EkXy7NjobFFUr69FVeI= =Njh1 -----END PGP SIGNATURE----- ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
