Courier Mail Server Forum Index Courier Mail Server
www.courierms.ru
 
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

SSL

 
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 2.xx
View previous topic :: View next topic  
Author Message
Karman
Subscriber
Subscriber


Joined: 10 Oct 2006
Posts: 14

PostPosted: 03 Mar 2008 23:08 (Mon)    Post subject: SSL Reply with quote

Была поставлена задача: организовать ПОЛУЧЕНИЕ почты из ящика на Exchange 2007 по POP3SSL.
Т.к. мааасковские админы отказались предоставить информацию "как они там настроиле этот Exchange".
Пришлось думать самому. В моем случае дело обстоит так. мааасковские товарищи выпустили свой собственный корневой сертификат быстренько создали пару открытый_ключ - закрытый_ключ сервера и при получении (POP3SSL) передают открытую часть чтобы этой частью я расшифровал то что они у себя зашифровали закрытым_ключем и тем самым я однозначно определил "правильность" данного сервера. Правда, они почему-то не дали корневого сертификата, которым я должен определить валидность открытого ключа.

Выше сказанное объясняет, почему у Вас может, что-нибуть да не работать, а также некоторою кривость моего решения.
До начала "плясок с бубном" рекомендую ознакомится с вот этим материалом:
http://www.sorok.ru/lib/stunnel/stunnel.htm
http://offline.computerra.ru/print/offline/1999/323/3375/


FAQ по прикручиванию SSL к CourierMS 2.05.
1. скачать с http://www.stunnel.org stunnel-4.21-installer.exe и stunnel-3.26.exe
почему не ограничится только инсталлятором?
патамучто он работает уже не с командной строкой, а с файлом конфигурации *.conf и самое главное как то не хочет работать по умолчанию. т.е. объяснить почему у меня нету корневого сертификата я не смог поэтому делаю, как делаю.
2. устанавливаем stunnel-4.21
3. заменяем exe-шник stunnel-4.21 на stunnel-3.26 имя естественно меняем на stunnel
4. libssl32.dll и libeay32.dll должны быть скопированы в C:\WINDOWS\system32
НО в WinXP и Win2000 они уже есть (закрыв глаза на совместимость версий) оставим их в покое. (НИЧЕГО НЕ КОПИРУЕМ)
5. запускать будем из командной строки:
tunnel -c -d 127.0.0.1:1110 -r сервер:995
-с - запускаться клиентом
-d 127.0.0.1:1110 указываем какой адрес и порт будем слушать.
адрес может быть и localhost или ip машины на которой крутится CMS, а вот порт пришлось указывать 1110 т.к. 110 - POP3 уже занят CMS. (у меня ситуация с портами еще интересней т.к. почтовый трафик считается через UserGate, а там это делается через mapping портов, что порождает 3 каскада перенаправлений)
-r сервер:995 - сервер где находится "шифрованный" ящик можно указать как ip так и доменное имя.
после запуска появится окошко консоли, где будет вестись лог подключений, там же можно посмотреть ошибки, если они будут.
окно консоли не закрывать т.к. это повлечет остановку stunnel.
6. в СMS создаем новый POP3 сервер по адресу 127.0.0.1:1110, почтовые ящики создаются также как и обычно.
7. Признаком, что все работает являются записи "сonnect" в логах stunnel и отстутвие ошибок в логах CMS


PS: То что решение кривое я и так вижу. Нопример можно его причесать используя ключ установки stunnel, запустить его как службу. Или более глубоко копнуть настройки stunnel-4.21 сдружить его с сертификатом сервера без корневого сертификата. В общем FAQ не полный сами домысливайте и разбирайтесь, меня не спрашивайте.
Back to top
View user's profile Send private message
Karman
Subscriber
Subscriber


Joined: 10 Oct 2006
Posts: 14

PostPosted: 15 Apr 2008 23:52 (Tue)    Post subject: Reply with quote

Из-за не стабильности данного решения пришлось экспериментировать дальше.

1. Скачиваем новую версию Stunnel
http://www.stunnel.org/download/binaries.html
stunnel-4.22-installer.exe от 28.03.2008г.
2. Устанавливаем и правим конфиг: stunnel.conf
лично мне подошел вот такой вот:

Code:
cert = stunnel.pem
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
output = stunnel.log
client = yes
[pop3s]
accept  = 127.0.0.1:110
connect = ВНЕШНИЙ_ПОЧТОВЫЙ_СЕРВЕР:995


Данная версия настраивается только через *.conf в дистрибутиве есть man по параметрам.
ВНИМАНИЕ конструкцию: "[pop3s]" лучше не убирать!!!
ВНИМАНИЕ для лучшего понимания настройки желательно прочесть статьи данные выше и уровень дебага-7 не менять.


====
C касперским (думаю и с д.р. антивирусами) stunnel не дружит ни как. Поэтому необходимо настроить в касперским доверенную зону.

Решение стабильно. Up-time > 30 дней.
Back to top
View user's profile Send private message
Kerby_g
Newbie
Newbie


Joined: 05 Apr 2011
Posts: 3

PostPosted: 12 Sep 2011 20:03 (Mon)    Post subject: Reply with quote

Удалось описанным способом натсроить получение почты.
Бьюсь над отправкой. Кто-нибуть смог?
Добавил в скрипт строчку
Code:
[smtp]
accept  = 127.0.0.1:456
connect = ВНЕШНИЙ_ПОЧТОВЫЙ_СЕРВЕР:25


но что-то не получается...
Back to top
View user's profile Send private message
Kerby_g
Newbie
Newbie


Joined: 05 Apr 2011
Posts: 3

PostPosted: 12 Sep 2011 21:20 (Mon)    Post subject: Reply with quote

Нашел ответ вот тут http://www.marshallsoft.com/stunnel.htm

Копи паст

Code:
Gmail Configuration File 'config(gmail).txt'

 ; SMTP/POP3 Configuration for SEE/Gmail
 ; Stunnel must be running on same machine as SEE
 output = gmail.log
 ; show STUNNEL on task bar ? (yes/no)
 taskbar = yes
 cert = stunnel.pem
 client = yes
 [ssmtp]
 accept = 8001
 connect = smtp.gmail.com:465
 [spop3]
 accept = 9001
 connect = pop.gmail.com:995


Hotmail Configuration File 'config(hotmail).txt'

 ; SMTP/POP3 Configuration for SEE/Hotmail
 ; Stunnel must be running on same machine as SEE
 output = hotmail.log
 ; show STUNNEL on task bar ? (yes/no)
 taskbar = yes
 cert = stunnel.pem
 client = yes
 [ssmtp]
 accept = 8002
 connect = smtp.live.com:587
 protocol = smtp
 [spop3]
 accept = 9002
 connect = pop3.live.com:995


Yahoo Configuration File 'config(yahoo).txt'

 ; SMTP/POP3 Configuration for SEE/Yahoo
 ; Stunnel must be running on same machine as SEE
 ; Requires Yahoo's "Mail Plus"
 output = yahoo.log
 ; show STUNNEL on task bar ? (yes/no)
 taskbar = yes
 cert = stunnel.pem
 client = yes
 [ssmtp]
 accept = 8003
 connect = plus.smtp.mail.yahoo.com:465
 [spop3]
 accept = 9003
 connect = plus.pop.mail.yahoo.com:995


Microsoftonline Configuration File 'config(microsoftonline).txt'

 ; SMTP/POP3 Configuration for SEE/Microsoftonline
 output = microsoftonline.log
 ; show STUNNEL on task bar ? (yes/no)
 taskbar = yes
 cert = stunnel.pem
 client = yes
 [ssmtp]
 accept = 8004
 connect = smtp.mail.microsoftonline.com:587
 protocol = smtp
 [spop3]
 accept = 9004
 connect = pop.mail.microsoftonline.com:995
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 12 May 2012 14:38 (Sat)    Post subject: Reply with quote

Появилось готовое решение задачи CMS + SSL (на примере gmail.com).
Back to top
View user's profile Send private message Send e-mail Visit poster's website
asbo
Subscriber
Subscriber


Joined: 22 Jun 2006
Posts: 11

PostPosted: 18 Dec 2013 15:31 (Wed)    Post subject: Reply with quote

Некоторые дополнения по настройке STunnel:

1. На старых машинах, до Pentium 4 - отключаем FIPS:
Code:
; Disable FIPS mode to allow non-approved protocols and algorithms
fips = no
"Необходимость отключения вывляем по таким строкам в логе:
Quote:
FIPS_mode_set: 2D07808C: error:2D07808C:FIPS routines:FIPS_module_mode_set:unsupported platform
Line 66: "[gmx-pop3]": Failed to initialize SSL

Старость" проверяем, к примеру, с помощью CPU-Z на присутствие SSE2 в списке Instructions


2. Пишем лог туда, куда хотим:
Code:
output = stunnel.log

3. Настраиваем детализацию лога 1-7 (по умолчанию 5):
Code:
debug = 7

4. Убираем значок в трее (по умолчанию включен):
Code:
taskbar = no

5. Ставим сервисом (службой венды):
Code:
>..\stunnel.exe -install


NAMOR
Это ты лихо 4 года спустя родил "готовое решение" и даже ни словом в нем не обмолвился об этом топике, с которого, собственно, и все и началось.

Дай пожалуйста в этом "готовом решении" ссылку на этот топик:
1. Приличия ради для
2. Для возможности обсуждения и разруливания траблов.

_________________
Take it easy...
Back to top
View user's profile Send private message
risk18
Newbie
Newbie


Joined: 23 Jul 2014
Posts: 4

PostPosted: 22 Sep 2014 9:33 (Mon)    Post subject: Reply with quote

stunnel-5.04
выдает ошибку
2014.09.22 09:20:01 LOG5[3892]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2837
2014.09.22 09:20:01 LOG5[2484]: s_connect: connected 217.69.139.74:110
2014.09.22 09:20:01 LOG5[2440]: s_connect: connected 217.69.139.74:110
2014.09.22 09:20:01 LOG5[3016]: s_connect: connected 217.69.139.74:110
2014.09.22 09:20:01 LOG5[2484]: Service [mail.ru-pop3] connected remote server from 192.168.1.4:2834
2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] connected remote server from 192.168.1.4:2838
2014.09.22 09:20:01 LOG5[2440]: Service [mail.ru-pop3] connected remote server from 192.168.1.4:2836
2014.09.22 09:20:01 LOG3[2440]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2014.09.22 09:20:01 LOG5[2440]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2014.09.22 09:20:01 LOG3[2484]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2014.09.22 09:20:01 LOG5[2484]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2014.09.22 09:20:01 LOG5[2040]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2839
2014.09.22 09:20:01 LOG5[868]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2840

часть журнала КМС
===[CMSLog cut]===============8<----------------------------------------------
!22.09.2014 09:28:01 00KL Соединение разорвано удалённым хостом (10054)
22.09.2014 09:28:01 00KL Закончили приём почты из внешнего п/я <lada@mail.ru>
22.09.2014 09:28:01 00KL Начали приём почты из внешнего п/я <sale@mail.ru>...
!22.09.2014 09:28:01 00KM Соединение разорвано удалённым хостом (10054)
------------------------------>8===============================[CMSLog cut]===
помогите, вся почта стоитверсия кмс 2.10
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 22 Sep 2014 9:46 (Mon)    Post subject: Reply with quote

risk18 wrote:
2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2837
2014.09.22 09:20:01 LOG5[2484]: s_connect: connected 217.69.139.74:110

В настройках stunnel в секции [mail.ru-pop3] укажите порт 995, а не 110.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
risk18
Newbie
Newbie


Joined: 23 Jul 2014
Posts: 4

PostPosted: 22 Sep 2014 9:50 (Mon)    Post subject: Reply with quote

огромное спасибо , за оперативную помощь !!! Smile
Back to top
View user's profile Send private message
Anton
Newbie
Newbie


Joined: 23 Sep 2014
Posts: 1

PostPosted: 23 Sep 2014 23:42 (Tue)    Post subject: ssl Reply with quote

NAMOR wrote:
risk18 wrote:
2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2837
2014.09.22 09:20:01 LOG5[2484]: s_connect: connected 217.69.139.74:110

В настройках stunnel в секции [mail.ru-pop3] укажите порт 995, а не 110.


Проблема с маил.ру
не могу принять почту.

Пробовал с stunnel-5.04 не тоже не работает.

Мне кажется что не работает stunnel-5.04 когда я его запускаю он выдает ошибку доступа егог 5 ошибка в доступе (я сделал доступ все - полный доступ)

Подскажите что можно сделать ?

Я так понимаю в CMS нужно все оставить все как есть, а stunnel-5.04 нужно прописать коннект верный. все верно ?
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 24 Sep 2014 9:30 (Wed)    Post subject: Reply with quote

Полагаю, что stunnel нужно устанавливать под администратором.
Если настраивать по инструкции "Обмениваемся почтой по SSL (на примере gmail.com)", то в CMS нужно заменить адреса и порты внешних серверов. Для Mail.Ru: pop.mail.ru:110 -> 127.0.0.1:2112, smtp.mail.ru:25 -> 127.0.0.1:2027.
Как настроить stunnel тоже написано в этой инструкции.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 29 Mar 2015 19:09 (Sun)    Post subject: Reply with quote

Добавили в CMS 3.05 beta 1:
Code:
[!] Поддержка защищённых соединений (SSL/TLS) с внешними SMTP- и
    POP3-серверами, в том числе при MX-доставке.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
Display posts from previous:   
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 2.xx All times are GMT + 4 Hours
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum


Powered by phpBB © 2001, 2005 phpBB Group