https://www.opennet.me/openforum/vsluhforumID10/5662.html Добрый день!<br><br>Кто-нибудь использовал TLS при настройке почты на SMTP сервере EXIM ?<br>Нужно чтобы проходящая через EXIM почта шифровалась уходя во вне.<br>Например на внешний домен mail.ru почта зашифровывалась.<br>Можно ли так сделать или есть какие-то другие варианты конфигурации ?<br><br>Заранее благодарен, Борис.<br><br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#8 Mon, 13 Nov 2023 21:02:23 GMT А совсем правильно будет в транспрорте tls_always поставить:<br><br>hosts_require_tls = *<br><br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#7 Mon, 13 Nov 2023 13:10:15 GMT Сорри, не обратил внимания, что в hosts_require_tls перечисляются хосты, а не домены. Т.е. надо<br><br>hosts_require_tls = mxs.mail.ru : .....<br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#6 Mon, 13 Nov 2023 13:02:25 GMT Естественно, вместо явного перечня доменов в роутере можно использовать лист (как удобно)<br><br>domains = +tls_domainlist<br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#5 Mon, 13 Nov 2023 12:59:08 GMT Добрый день!<br><br>Не проблема. <br>Два разных транспорта и два соответсвующих роутера<br><br>begin transports<br><br>tls_always:<br> driver = smtp<br>.....<br> hosts_require_tls = mail.ru : gmail.com : и т.д.<br> tls_tempfail_tryclear = false<br>......<br><br>tls_optional:<br> driver = smtp<br>.....<br> tls_tempfail_tryclear = true<br>.....<br><br>############<br>begin routers<br><br>dns_lookup:<br> driver = dnslookup<br> domains = mail.ru : gmail.com : и т.д. # только для этих доменов<br>.....<br> transport = tls_always # вызов транспорта с именем "tls_always"<br> no_more<br><br>dns_lookup:<br> driver = dnslookup<br> domains = !+local_domains # все остальные, кроме локальных<br>......<br> transport = tls_optional # вызов транспорта с именем "tls_optional"<br> no_more<br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#4 Mon, 13 Nov 2023 12:02:23 GMT День добрый!<br><br>Можно ли сделать так:<br><br>Допустим у нас есть какой-то список доменов tls_domainlist<br><br>Для этого списка доменов нужно обязательно шифровать, если будет ошибка при шифровании, то<br>не посылать сообщение, даже не зашифрованное. А для всех остальных доменов шифровать сообщение, потом отсылать, а при ошибки шифрования<br>отсылать не зашифрованное сообщение.<br><br>Заранее благодарен. Борис.<br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#3 Wed, 08 Nov 2023 16:25:39 GMT День добрый!<br><br>Транспорт можно вставлять в любое место секции "begin transports". Порядок их описания не имеет значения, т.к. транспорты срабатывают только при вызове по их имени (в моем случае - "remote_smtp") из роутеров. А вот порядок следования роутеров значение имеет.<br><br>Для примера, самый первый роутер:<br>begin routers<br>dns_lookup:<br> driver = dnslookup<br> domains = !+local_domains # для локальной доставки используется другой роутер<br> rewrite_headers = false<br> transport = remote_smtp # вызов транспорта с именем "remote_smtp"<br> ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8<br> no_more<br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#2 Tue, 07 Nov 2023 07:28:12 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; = * <br>&gt; tls_require_ciphers <br>&gt; = HIGH:-SSLv3:-TLSv1:-ADH:-PSK:-ARIA:-CAMELLIA #(5) <br>&gt; (1) DKIM требует еще настроек в DNS. Можно не включать.<br>&gt; (2) Сертификат тот-же, что и на приеме почты <br>&gt; (3) Глобальные доверенные СА <br>&gt; (4) Если принимающий хост не работает по TLS, то передать в нешифрованном <br>&gt; режиме <br>&gt; (5) Настройка openssl для работы только по TLS1.2 и TLS1.3 <br><br>Добрый день!<br><br><br>спасибо большое за предоставленную информацию.<br>У куда этот транспорт ставить в exim.conf ?<br>Я думаю, что желательно в самом начале секции транспорта?<br><br>Заранее благодарен. Борис.<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID10/5662.html#1 Fri, 03 Nov 2023 13:27:37 GMT Добрый день, Борис!<br><br>&gt; Кто-нибудь использовал TLS при настройке почты на SMTP сервере EXIM ?<br><br>Это штатный режим почты в наше время.<br><br>Исходящая наружу почта в exim контролируется в транспорте.<br><br>(мой рабочий конфиг):<br>begin transports<br>remote_smtp:<br> driver = smtp<br> command_timeout = 2m<br> connect_timeout = 2m<br> connection_max_messages = 10<br> max_parallel = 10<br> port = 25<br> message_size_limit = 200M<br> dkim_domain = my_domain.com #(1)<br> dkim_selector = mail #(1)<br> dkim_private_key = /etc/exim/dkim.key #(1)<br> dkim_strict = true #(1)<br> dkim_sign_headers = Date:Message-ID:Subject:From:To:In-Reply-To:References:MIME-Version:Content-Type #(1)<br> tls_certificate = /etc/ssl/my_domain.pem #(2)<br> tls_privatekey = /etc/ssl/my_domain.key #(2)<br> tls_verify_certificates = /etc/ssl/cacert