https://opennet.me/openforum/vsluhforumID1/20.html Пол-царства за коня! :-)<br>Третий день долбаюсь с проблемой отправки писем на почтовый сервер по SSL.<br><br>В наличии:<br><br>1. Видеорекордер ~10-летней давности, в котором для отправки email с изображениями можно задать данные:<br><br>- адрес почтового сервера SMTP<br>- произвольный порт этого сервера<br>- SSL подключение: да/нет<br>- Логин сервера<br>- Пароль сервера<br>- email получателя<br><br>2. Почтовый сервер с Postfix, доступ к его настройкам имеется.<br><br>Если отправлять email без шифрования, т.е. по 25-му порту с выключенным SSL, то письма уходят нормально.<br><br>Если включить шифрование, т.е. SSL, и отправлять письма по 465 порту, возникает ошибка "Невозможно подключиться к SMTP хосту",<br>при этом в логах сервера такая картина:<br><br>[code]Apr 5 13:00:00 mail postfix/smtpd[28191]: connect from ip-5729.redline.net[93.44.86.56]<br>Apr 5 13:00:00 mail postfix/smtpd[28191]: lost connection after UNKNOWN from ip-5729.redline.net[93.44.86.56]<br>Apr 5 13:00:00 mail postfix/smtpd[28191]: disconnect from ip-5729.redline.net[93.44.86.56]<br>Ap https://opennet.me/openforum/vsluhforumID1/20.html#13 Fri, 28 Apr 2023 04:16:50 GMT &gt; Спасибо, спасибо! Так что же получается (если я правильно понял), что если <br>&gt; использовать SMTP-AUTH, то взлома не будет, а перлюстрация трафика наоборот, будет <br>&gt; во весь рост?<br>&gt; Если так, то это не решение данной проблемы, поскольку "почтовый видеотрафик" <br>&gt; нужно защитить от просмотра.<br><br>Может у рекордера есть возможность установки какого-либо VPN? Тогда можно организовать VPN до почтового сервера и через него подключатсья хоть с SSL, хоть без него.<br> https://opennet.me/openforum/vsluhforumID1/20.html#11 Sat, 08 Apr 2023 14:09:04 GMT Да, чуть не забыл - какой вы здесь имели в виду SMTP-AUTH - обычный или шифрованный?<br> https://opennet.me/openforum/vsluhforumID1/20.html#10 Sat, 08 Apr 2023 13:06:05 GMT Спасибо, спасибо! Так что же получается (если я правильно понял), что если использовать SMTP-AUTH, то взлома не будет, а перлюстрация трафика наоборот, будет во весь рост?<br>Если так, то это не решение данной проблемы, поскольку "почтовый видеотрафик" нужно защитить от просмотра.<br><br>И еще, я несколько дней искал некий простой почтовый релей, который обладал бы свойствами транслировать письма, получаемые им по открытому 25-порту, а отправлял бы их наружу по защищенному 465 или 587 с современным SSL.<br>Как вариант - принимал их по 465-му с древней версией SSL, как в регистраторе, опасности взлома все равно бы не было, поскольку этот релей размещался бы в локалке рядом с регистратором.<br><br>lavr, подскажите, пожалуйста, существуют ли такие релеи?<br><br>Изученные ssmtp и msmtp оказались совсем не тем, что нужно.<br>Встречались решения на основе Postfix, но они все сложны для меня, а главное, эти найденные решения сильно отличаются друг от друга и написаны парнями с неизвестной квалификацией, так что нет уверенности, что https://opennet.me/openforum/vsluhforumID1/20.html#9 Sat, 08 Apr 2023 07:24:24 GMT &gt;&gt; оставить SMTP-AUTH без шифрации, ибо из старых только TLSv1.1 с определенными алгоритмами шифрации будет безопасен.<br>&gt; А разве SMTP-AUTH без шифрации не будет такой же дырой, вернее лазейкой <br>&gt; для доступа к трафику?<br><br>"SSLv2/v3, TLSv1/v1.1" взламываются при известных атаках.<br>SMTP-AUTH известных взломов на данный момент не имеет.<br><br>&gt; Да, и разве ограничение доступа по IP защитит трафик от просмотра?<br><br>нет, но это не дыра в безопасности в плане взлома<br><br>&gt;&gt; Прям что-то секретное этот регистратор шлет, какие-нить алерты...<br>&gt; Владельцы некоторых охраняемых объектов не хотят, чтобы высылаемые алерты в виде фото <br>&gt; или видео были доступны для просмотра посторонними.<br><br>дык пусть купят более современный девайс, либо имеют ТО ЧТО ИМЕЮТ<br><br>Типа, есть бетонный забор вокруг коттеджа, навесили крутые ворота,<br>но поскупились на замок, который открывается скрепкой.<br> https://opennet.me/openforum/vsluhforumID1/20.html#8 Fri, 07 Apr 2023 16:34:57 GMT &gt; оставить SMTP-AUTH без шифрации, ибо из старых только TLSv1.1 с определенными алгоритмами шифрации будет безопасен.<br><br>А разве SMTP-AUTH без шифрации не будет такой же дырой, вернее лазейкой для доступа к трафику?<br>Да, и разве ограничение доступа по IP защитит трафик от просмотра?<br><br>&gt; Прям что-то секретное этот регистратор шлет, какие-нить алерты...<br><br>Владельцы некоторых охраняемых объектов не хотят, чтобы высылаемые алерты в виде фото или видео были доступны для просмотра посторонними.<br><br> https://opennet.me/openforum/vsluhforumID1/20.html#7 Fri, 07 Apr 2023 16:21:10 GMT &gt; Что за эти годы могло измениться, если он сам все тот же? <br>&gt; Окружающий мир!<br>&gt; Т.е. стандарты SSL/TLS и прочее, которые в регистраторе остались неизменными.<br>&gt; И печально, что их в нем не могу обновить, поскольку новых прошивок <br>&gt; давно нет.<br>&gt; Что же делать?...<br><br>оставить SMTP-AUTH без шифрации, ибо из старых только TLSv1.1 с определенными алгоритмами<br>шифрации будет безопасен.<br>Чем оставлять дыру в smtpd+tls с sslv2 или sslv3, лучше уже smtp для конкретного ip или<br>smtp+auth.<br>Прям что-то секретное этот регистратор шлет, какие-нить алерты...<br> https://opennet.me/openforum/vsluhforumID1/20.html#6 Fri, 07 Apr 2023 15:47:24 GMT О, lavr, какие лица! :-)<br>Приятно видеть!<br><br>Спасибо за ну очень толковый совет! <br>Действительно, это очень похоже на реальную ситуацию, потому что лет ~10 тому назад этот же регистратор успешно работал через SSL, а сейчас выпендривается.<br><br>Что за эти годы могло измениться, если он сам все тот же? Окружающий мир!<br>Т.е. стандарты SSL/TLS и прочее, которые в регистраторе остались неизменными.<br>И печально, что их в нем не могу обновить, поскольку новых прошивок давно нет.<br><br>Что же делать?...<br> https://opennet.me/openforum/vsluhforumID1/20.html#5 Fri, 07 Apr 2023 15:00:06 GMT &gt; Сорри. Как общепринято при выкладывании логов личные IP заменяются на вымышленные, что <br>&gt; я и сделал.<br>&gt; Так что причина здесь в чем-то другом.<br><br>https://www.postfix.org/TLS_README.html очень внимательно<br>- задать нужный уровень логгинга<br>- понять что поддерживает видеорегистратор: SSLv2, SSLv3, TLSv1 в топку, остается одна<br>надежда на поддержку TLSv1.1 и подбор безопасных ciphers:<br>https://ssl-config.mozilla.org/<br><br>иначе получите дыру в секурити и тут уж лучше оставить SMTP-AUTH.<br><br><br><br> https://opennet.me/openforum/vsluhforumID1/20.html#4 Fri, 07 Apr 2023 12:35:56 GMT Сорри. Как общепринято при выкладывании логов личные IP заменяются на вымышленные, что я и сделал.<br>Так что причина здесь в чем-то другом.<br>