Re: Configuration Exim pour accès sécurisé depuis extérieur.

Le
alexandre mathieu
=_Part_39291_8274218.1223921900484
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

normalement, de base exim4 utilise une liaison chiffré via TLS. Apres pou=
r
l'authentification, le plus simple c'est d'utiliser la methode "pam", c'est
à dire que ce sont les comptes utilisateurs présent sur le serveur qui
serviront à s'authentifier. Pour l'activer c'est tres simple, assure toi
deja d'avoir le paquet

exim4-daemon-heavy
et non le light, ensuite il faut qu'exim soit configuré pour écouter a
l'exterieur (lan ou wan), pour ça il faut laisser vide l'entrée
dc_local_interfaces=''
dans le fichier /etc/exim4/update-exim4.conf.conf
selon si tu veux pourvoir envoyer a partir du lan sans
authentification ou avec, a la ligne dc_relay_nets= tu mets les ip
autorisés sans auth (pour obliger toutes les ip à s'authentifier, tu
laisses vide. Ne surtout pas mettre le caractere * sans quoi ton MTA
fera office de relais ouvert au spammer
Maintenant tu edites le fichier /etc/exim4/exim4.conf.template (si tu
utilises une configuration en un seul fichier, sinon
/etc/exim4/conf.d/auth/30_exim4-config_examples et dedans tu ajoutes:

plain:
driver = plaintext
public_name = PLAIN
server_condition = "${if pam {$2:$3}{yes}{no}}"
server_set_id = $2

login:
driver = plaintext
public_name = LOGIN
server_prompts = "WLUG Username:: : WLUG Password::"
server_condition = "${if pam {$1:$2}{yes}{no}}"
server_set_id = $1

de cette maniere, tu pourras utiliser soit la methode plain siut login
pour l'authentification. Tu configures ton client mail pour qu'il
utilise login et mdp de ton compte unix sur le serveur et ça roule.

=_Part_39291_8274218.1223921900484
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">normalement, de base exim4 utilise une liaison chiffré v=
ia TLS. Apres pour l&#39;authentification, le plus simple c&#39;est d&#39;u=
tiliser la methode &quot;pam&quot;, c&#39;est à dire que ce sont les comp=
tes utilisateurs présent sur le serveur qui serviront à s&#39;authentif=
ier. Pour l&#39;activer c&#39;est tres simple, assure toi deja d&#39;avoir =
le paquet <br>
<pre>exim4-daemon-heavy<br>et non le light, ensuite il faut qu&#39;exim soi=
t configuré pour écouter a l&#39;exterieur (lan ou wan), pour ça il f=
aut laisser vide l&#39;entrée dc_local_interfaces=&#39;&#39;<br>dans le=
fichier /etc/exim4/update-exim4.conf.conf<br>
selon si tu veux pourvoir envoyer a partir du lan sans authentification ou =
avec, a la ligne dc_relay_nets= tu mets les ip autorisés sans auth (pou=
r obliger toutes les ip à s&#39;authentifier, tu laisses vide. Ne surtout=
pas mettre le caractere * sans quoi ton MTA fera office de relais ouvert a=
u spammer<br>
Maintenant tu edites le fichier /etc/exim4/exim4.conf.template (si tu utili=
ses une configuration en un seul fichier, sinon /etc/exim4/conf.d/auth/30_e=
xim4-config_examples et dedans tu ajoutes:<br><br>plain:<br> driver =
= plaintext<br>
public_name = PLAIN<br> server_condition = &quot;${if pa=
m {$2:$3}{yes}{no}}&quot;<br> server_set_id = $2<br><br> login:<br=
> driver = plaintext<br> public_name = LOGIN<br> s=
erver_prompts = &quot;WLUG Username:: : WLUG Password::&quot;<br>
server_condition = &quot;${if pam {$1:$2}{yes}{no}}&quot;<br> =
server_set_id = $1<br><br>de cette maniere, tu pourras utiliser soit =
la methode plain siut login pour l&#39;authentification. Tu configures ton =
client mail pour qu&#39;il utilise login et mdp de ton compte unix sur le s=
erveur et ça roule.<br>
</pre></div>

=_Part_39291_8274218.1223921900484--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yann Cohen
Le #17580891
Bonjour,


Après des essais + ou - infructueux voici où j'en suis arrivà © :

TLS/Auth
j'ai bien réussi à mettre une authentification et un passage en T LS
(Ajout de la macro MAI_TLS_ENABLE = 1 dans le ficheir de conf)

Ensuite j'ai essayé utiliser mon PDA pour envoyer des mail : éche c total !

Il attend une connexion SSL !

SSL
J'ai déconfiguré le TLS mais pas l'Authetification,
J'ai mis en place stunnel pour faire un tunnel en local
Conclusion mitigée :
1/ la connexion SSL fonction,
2/ Authentification dans les choux avec ceci comme rejet dans les log
2008-10-19 18:29:18 login authenticator failed for localhost (Inbox) [127.0 .0.1]: 501 Invalid base64 data

Bon alors ne voyant pas ce qui passe dans le tube, j'envoie ce mail et essa ie de mettre en place un sniffer...

merci des conseils.
Yann.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Yann Cohen
Le #17581871
Bonjour,

Donc le dernier problème venait une recopie trop rapide d'un exemple e t
du prompt du login (dans le fichier de configuration de exim) qui avait
un préfixe non reconnu par le PDA.

Pour résumé :
- passage en "heavy" de exim4,
- configuration avec clamsmtp donc :
- règle de redirection du port 25 (iptable)
- attente sur deux autres port pour exim et clamsmtp
- configuration de sa-exim
- configuration de login pour pam
- ajout de debian-exim dans le groupe shadow
- pas de mise en place de TLS
- installation dans rc.local du démarrage de stunnel4
- configuration de stunnel4 pour création d'un tunnel entre le port 46 5
et le port exim sur localhost.

Voilà, avec cela j'ai réussi à envoyer un mail depuis le PDA .

Cependant, cette solution sembler "masquer" l'IP source du message alors
qu'elle est disponible dans stunnel.
Ceci m'ennuie un peu puisque j'ai essayé de configurer exim pour que s i
une connexion n'est pas du réseau local il faut une connexion
obligatoire...

En fait, comment configurer exim pour se passer de stunnel et avoir une
configuration complète incluant ssl, TLS si besoin et les vérific ations
d'authentification en fonction des source de connexions ?

Merci et bonne soirée de dimanche...
Yann.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #17630551
Yann Cohen a écrit :
Bonjour,

Donc le dernier problème venait une recopie trop rapide d'un exemple et
du prompt du login (dans le fichier de configuration de exim) qui avait
un préfixe non reconnu par le PDA.

Pour résumé :
- passage en "heavy" de exim4,
- configuration avec clamsmtp donc :
- règle de redirection du port 25 (iptable)
- attente sur deux autres port pour exim et clamsmtp
- configuration de sa-exim
- configuration de login pour pam
- ajout de debian-exim dans le groupe shadow
- pas de mise en place de TLS
- installation dans rc.local du démarrage de stunnel4
- configuration de stunnel4 pour création d'un tunnel entre le port 465
et le port exim sur localhost.

Voilà, avec cela j'ai réussi à envoyer un mail depuis le PDA.

Cependant, cette solution sembler "masquer" l'IP source du message alors
qu'elle est disponible dans stunnel.
Ceci m'ennuie un peu puisque j'ai essayé de configurer exim pour que si
une connexion n'est pas du réseau local il faut une connexion
obligatoire...




ça peut t'interesser:
http://exim.netmirror.org/exim-html-4.40/doc/html/FAQ_17.html#TOC322

mais ne m'en demande pas plus: je ne connais pas exim.

En fait, comment configurer exim pour se passer de stunnel et avoir une
configuration complète incluant ssl, TLS si besoin et les vérifications
d'authentification en fonction des source de connexions ?





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme