Mam problem z certyfikatem, który wygenerowałem sobie poprzez openssl.
Mianowicie (zakładam, że całkiem słusznie), mam odpowiedzi od serwerów, które albo odrzucają wiadomości, albo traktują jako spam:
Jun 15 10:18:20 poczta postfix/smtp[6261]: certificate verification failed for mx.wp.pl[212.77.101.4]:25: untrusted issuer /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
Jun 15 10:17:42 poczta postfix/smtp[6261]: certificate verification failed for gmail-smtp-in.l.google.com[74.125.43.27]:25: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
Dwa pytania:
Czy jestem w stanie sam wygenerować taki certyfikat, który zaakceptowany zostanie przez odbiorców, czy jednak trzeba taki zakupić - a jeśli zakupić to co polecacie.
Czy można wyłączyć certyfikaty a jednocześnie zachować że serwer SMTP wymaga uwierzytelnienia przy wysyłaniu poczty? Drugie pytanie jest stąd że cokolwiek bym nie zmienił w certyfikatach to wywala mi się cała komunikacja klient-serwer w postfiksie.
A co mnie w tym wszystkim dziwi, to jak mam wyłączoną autoryzację SMTP użytkownika i certyfikaty i sasla i wszystkie zabezpieczenia poczty to wiadomość leci i dociera tam gdzie trzeba bez żadnych komunikatów o nieprawidłowości.
odp 1 - Nie jesteś (sam jako osoba fizyczna - musiałbyś być zaufanym centrum), trzeba kupić
odp 2 - Jak wyłączysz cert to jak chcesz uwierzytelnić?
Komunikat stwierdza mniej więcej tyle, że wysyłasz certyfikat do ,,mx wp'', który to po sprawdzeniu, że Twój certyfikat nie jest wystawiony przez zaufany organ odrzuca go.
Wiadomości mogą być bez problemu przekazywane bez uwierzytelnienia, po to są, jednak każdy kto założy skaner na końcówki, czy to Twojej sieci, czy docelowej, do której przesyłasz, będzie swobodnie czytał przesyłane wiadomości.
Panie kane2002, mylisz uwierzytelnianie SMTP z szyfrowanym połączeniem. Przy połączeniu uwierzytelnionym wymagane jest podanie hasła i można to skonfigurować i przy połączeniu nieszyfrowanym (SMTP, bez certyfikatu), jak i szyfrowanym (SMTPS, z certyfikatem).
Dziękuję lessmian2, faktycznie wypróbowałem bez certyfikatu i działa. No, ale każda odpowiedź rodzi dwa kolejne pytania.
Czy jak będę miał taki certyfikat i będę wysyłał z certyfikatem - to zostanie on "rozgłoszony" jako mój i nikt inny nie będzie się mógł za mnie podać.
Czy też i tak ktoś kto sobie ustawi serwer na wysyłanie z moja_domena.pl to odbiorca będzie odbierać wiadomości myśląc że to ja wysyłałem?
Inna sprawa, że jak wyślę odpowiedź to już dnsy pokierują go do mnie, więc będę wiedział, że coś jest nie tak.
WP.PL twierdzi że jestem "be". (co mnie generalnie cieszy).
x.wp.pl[212.77.101.4] said: 550 BLAD SPF - zobacz strone / SPF Error: Please see http://spf.pobox.com/why.html?sender=test%40moja_domena.pl&ip=adres.ip&receiver=smtp.wp.pl
Jesli jestes uzytkownikiem poczta.wp.pl sprawdz poprawnosc autoryzacji SMTP / If you are a poczta.wp.pl user check SMTP configuration: http://poczta.wp.pl/autoryzacja/ (in reply to MAIL FROM command))
Stronę zobaczyłem i pojawia się konkluzja, że w jakiś sposób współpracują z moim dostawcą poczty i wiedzą że tylko on może wysyłać e-maile z moja_domena.pl, więc blokują całą resztę.
Nie rozgrywa się to poprzez certyfikat tylko poprzez SPF.
Wpis w DNS:
Dodając w domenie spf z wpisami z ogicomu mówisz serwerom sprawdzającym spf, że w tej domenie wysyłać mogą serwery ogicomu.
Jak rozumiem, celem jest wysyłanie z własnego serwera, zatem do rekordu txt trzeba dopisać jeszcze IP własnego serwera wysyłającego: ip4:A.B.C.D (ewentualnie z maską) - może być przed, a może być zamiast redirect na _spf.ogicom.pl. Zazwyczaj dodaje się też zaraz po spf1 "a mx ptr".
Na openspf.org jest sporo dokumentacji.
