View previous topic :: View next topic |
Author |
Message |
Karman Subscriber
Joined: 10 Oct 2006 Posts: 14
|
Posted: 03 Mar 2008 23:08 (Mon) Post subject: SSL |
|
|
Была поставлена задача: организовать ПОЛУЧЕНИЕ почты из ящика на Exchange 2007 по POP3SSL.
Т.к. мааасковские админы отказались предоставить информацию "как они там настроиле этот Exchange".
Пришлось думать самому. В моем случае дело обстоит так. мааасковские товарищи выпустили свой собственный корневой сертификат быстренько создали пару открытый_ключ - закрытый_ключ сервера и при получении (POP3SSL) передают открытую часть чтобы этой частью я расшифровал то что они у себя зашифровали закрытым_ключем и тем самым я однозначно определил "правильность" данного сервера. Правда, они почему-то не дали корневого сертификата, которым я должен определить валидность открытого ключа.
Выше сказанное объясняет, почему у Вас может, что-нибуть да не работать, а также некоторою кривость моего решения.
До начала "плясок с бубном" рекомендую ознакомится с вот этим материалом:
http://www.sorok.ru/lib/stunnel/stunnel.htm
http://offline.computerra.ru/print/offline/1999/323/3375/
FAQ по прикручиванию SSL к CourierMS 2.05.
1. скачать с http://www.stunnel.org stunnel-4.21-installer.exe и stunnel-3.26.exe
почему не ограничится только инсталлятором?
патамучто он работает уже не с командной строкой, а с файлом конфигурации *.conf и самое главное как то не хочет работать по умолчанию. т.е. объяснить почему у меня нету корневого сертификата я не смог поэтому делаю, как делаю.
2. устанавливаем stunnel-4.21
3. заменяем exe-шник stunnel-4.21 на stunnel-3.26 имя естественно меняем на stunnel
4. libssl32.dll и libeay32.dll должны быть скопированы в C:\WINDOWS\system32
НО в WinXP и Win2000 они уже есть (закрыв глаза на совместимость версий) оставим их в покое. (НИЧЕГО НЕ КОПИРУЕМ)
5. запускать будем из командной строки:
tunnel -c -d 127.0.0.1:1110 -r сервер:995
-с - запускаться клиентом
-d 127.0.0.1:1110 указываем какой адрес и порт будем слушать.
адрес может быть и localhost или ip машины на которой крутится CMS, а вот порт пришлось указывать 1110 т.к. 110 - POP3 уже занят CMS. (у меня ситуация с портами еще интересней т.к. почтовый трафик считается через UserGate, а там это делается через mapping портов, что порождает 3 каскада перенаправлений)
-r сервер:995 - сервер где находится "шифрованный" ящик можно указать как ip так и доменное имя.
после запуска появится окошко консоли, где будет вестись лог подключений, там же можно посмотреть ошибки, если они будут.
окно консоли не закрывать т.к. это повлечет остановку stunnel.
6. в СMS создаем новый POP3 сервер по адресу 127.0.0.1:1110, почтовые ящики создаются также как и обычно.
7. Признаком, что все работает являются записи "сonnect" в логах stunnel и отстутвие ошибок в логах CMS
PS: То что решение кривое я и так вижу. Нопример можно его причесать используя ключ установки stunnel, запустить его как службу. Или более глубоко копнуть настройки stunnel-4.21 сдружить его с сертификатом сервера без корневого сертификата. В общем FAQ не полный сами домысливайте и разбирайтесь, меня не спрашивайте. |
|
Back to top |
|
|
Karman Subscriber
Joined: 10 Oct 2006 Posts: 14
|
Posted: 15 Apr 2008 23:52 (Tue) Post subject: |
|
|
Из-за не стабильности данного решения пришлось экспериментировать дальше.
1. Скачиваем новую версию Stunnel
http://www.stunnel.org/download/binaries.html
stunnel-4.22-installer.exe от 28.03.2008г.
2. Устанавливаем и правим конфиг: stunnel.conf
лично мне подошел вот такой вот:
Code: | cert = stunnel.pem
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
output = stunnel.log
client = yes
[pop3s]
accept = 127.0.0.1:110
connect = ВНЕШНИЙ_ПОЧТОВЫЙ_СЕРВЕР:995
|
Данная версия настраивается только через *.conf в дистрибутиве есть man по параметрам.
ВНИМАНИЕ конструкцию: "[pop3s]" лучше не убирать!!!
ВНИМАНИЕ для лучшего понимания настройки желательно прочесть статьи данные выше и уровень дебага-7 не менять.
====
C касперским (думаю и с д.р. антивирусами) stunnel не дружит ни как. Поэтому необходимо настроить в касперским доверенную зону.
Решение стабильно. Up-time > 30 дней. |
|
Back to top |
|
|
Kerby_g Newbie
Joined: 05 Apr 2011 Posts: 3
|
Posted: 12 Sep 2011 20:03 (Mon) Post subject: |
|
|
Удалось описанным способом натсроить получение почты.
Бьюсь над отправкой. Кто-нибуть смог?
Добавил в скрипт строчку
Code: | [smtp]
accept = 127.0.0.1:456
connect = ВНЕШНИЙ_ПОЧТОВЫЙ_СЕРВЕР:25 |
но что-то не получается... |
|
Back to top |
|
|
Kerby_g Newbie
Joined: 05 Apr 2011 Posts: 3
|
Posted: 12 Sep 2011 21:20 (Mon) Post subject: |
|
|
Нашел ответ вот тут http://www.marshallsoft.com/stunnel.htm
Копи паст
Code: | Gmail Configuration File 'config(gmail).txt'
; SMTP/POP3 Configuration for SEE/Gmail
; Stunnel must be running on same machine as SEE
output = gmail.log
; show STUNNEL on task bar ? (yes/no)
taskbar = yes
cert = stunnel.pem
client = yes
[ssmtp]
accept = 8001
connect = smtp.gmail.com:465
[spop3]
accept = 9001
connect = pop.gmail.com:995
Hotmail Configuration File 'config(hotmail).txt'
; SMTP/POP3 Configuration for SEE/Hotmail
; Stunnel must be running on same machine as SEE
output = hotmail.log
; show STUNNEL on task bar ? (yes/no)
taskbar = yes
cert = stunnel.pem
client = yes
[ssmtp]
accept = 8002
connect = smtp.live.com:587
protocol = smtp
[spop3]
accept = 9002
connect = pop3.live.com:995
Yahoo Configuration File 'config(yahoo).txt'
; SMTP/POP3 Configuration for SEE/Yahoo
; Stunnel must be running on same machine as SEE
; Requires Yahoo's "Mail Plus"
output = yahoo.log
; show STUNNEL on task bar ? (yes/no)
taskbar = yes
cert = stunnel.pem
client = yes
[ssmtp]
accept = 8003
connect = plus.smtp.mail.yahoo.com:465
[spop3]
accept = 9003
connect = plus.pop.mail.yahoo.com:995
Microsoftonline Configuration File 'config(microsoftonline).txt'
; SMTP/POP3 Configuration for SEE/Microsoftonline
output = microsoftonline.log
; show STUNNEL on task bar ? (yes/no)
taskbar = yes
cert = stunnel.pem
client = yes
[ssmtp]
accept = 8004
connect = smtp.mail.microsoftonline.com:587
protocol = smtp
[spop3]
accept = 9004
connect = pop.mail.microsoftonline.com:995 |
|
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 12 May 2012 14:38 (Sat) Post subject: |
|
|
Появилось готовое решение задачи CMS + SSL (на примере gmail.com). |
|
Back to top |
|
|
asbo Subscriber
Joined: 22 Jun 2006 Posts: 11
|
Posted: 18 Dec 2013 15:31 (Wed) Post subject: |
|
|
Некоторые дополнения по настройке STunnel:
1. На старых машинах, до Pentium 4 - отключаем FIPS:
Code: | ; Disable FIPS mode to allow non-approved protocols and algorithms
fips = no | "Необходимость отключения вывляем по таким строкам в логе: Quote: | FIPS_mode_set: 2D07808C: error:2D07808C:FIPS routines:FIPS_module_mode_set:unsupported platform
Line 66: "[gmx-pop3]": Failed to initialize SSL |
Старость" проверяем, к примеру, с помощью CPU-Z на присутствие SSE2 в списке Instructions
2. Пишем лог туда, куда хотим:
Code: | output = stunnel.log |
3. Настраиваем детализацию лога 1-7 (по умолчанию 5):
4. Убираем значок в трее (по умолчанию включен):
5. Ставим сервисом (службой венды):
Code: | >..\stunnel.exe -install |
NAMOR
Это ты лихо 4 года спустя родил "готовое решение" и даже ни словом в нем не обмолвился об этом топике, с которого, собственно, и все и началось.
Дай пожалуйста в этом "готовом решении" ссылку на этот топик:
1. Приличия ради для
2. Для возможности обсуждения и разруливания траблов. _________________ Take it easy... |
|
Back to top |
|
|
risk18 Newbie
Joined: 23 Jul 2014 Posts: 4
|
Posted: 22 Sep 2014 9:33 (Mon) Post subject: |
|
|
stunnel-5.04
выдает ошибку
2014.09.22 09:20:01 LOG5[3892]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2837
2014.09.22 09:20:01 LOG5[2484]: s_connect: connected 217.69.139.74:110
2014.09.22 09:20:01 LOG5[2440]: s_connect: connected 217.69.139.74:110
2014.09.22 09:20:01 LOG5[3016]: s_connect: connected 217.69.139.74:110
2014.09.22 09:20:01 LOG5[2484]: Service [mail.ru-pop3] connected remote server from 192.168.1.4:2834
2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] connected remote server from 192.168.1.4:2838
2014.09.22 09:20:01 LOG5[2440]: Service [mail.ru-pop3] connected remote server from 192.168.1.4:2836
2014.09.22 09:20:01 LOG3[2440]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2014.09.22 09:20:01 LOG5[2440]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2014.09.22 09:20:01 LOG3[2484]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2014.09.22 09:20:01 LOG5[2484]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2014.09.22 09:20:01 LOG5[2040]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2839
2014.09.22 09:20:01 LOG5[868]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2840
часть журнала КМС
===[CMSLog cut]===============8<----------------------------------------------
!22.09.2014 09:28:01 00KL Соединение разорвано удалённым хостом (10054)
22.09.2014 09:28:01 00KL Закончили приём почты из внешнего п/я <lada@mail.ru>
22.09.2014 09:28:01 00KL Начали приём почты из внешнего п/я <sale@mail.ru>...
!22.09.2014 09:28:01 00KM Соединение разорвано удалённым хостом (10054)
------------------------------>8===============================[CMSLog cut]===
помогите, вся почта стоитверсия кмс 2.10 |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 22 Sep 2014 9:46 (Mon) Post subject: |
|
|
risk18 wrote: | 2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2837
2014.09.22 09:20:01 LOG5[2484]: s_connect: connected 217.69.139.74:110 |
В настройках stunnel в секции [mail.ru-pop3] укажите порт 995, а не 110. |
|
Back to top |
|
|
risk18 Newbie
Joined: 23 Jul 2014 Posts: 4
|
Posted: 22 Sep 2014 9:50 (Mon) Post subject: |
|
|
огромное спасибо , за оперативную помощь !!! |
|
Back to top |
|
|
Anton Newbie
Joined: 23 Sep 2014 Posts: 1
|
Posted: 23 Sep 2014 23:42 (Tue) Post subject: ssl |
|
|
NAMOR wrote: | risk18 wrote: | 2014.09.22 09:20:01 LOG5[3016]: Service [mail.ru-pop3] accepted connection from 192.168.100.104:2837
2014.09.22 09:20:01 LOG5[2484]: s_connect: connected 217.69.139.74:110 |
В настройках stunnel в секции [mail.ru-pop3] укажите порт 995, а не 110. |
Проблема с маил.ру
не могу принять почту.
Пробовал с stunnel-5.04 не тоже не работает.
Мне кажется что не работает stunnel-5.04 когда я его запускаю он выдает ошибку доступа егог 5 ошибка в доступе (я сделал доступ все - полный доступ)
Подскажите что можно сделать ?
Я так понимаю в CMS нужно все оставить все как есть, а stunnel-5.04 нужно прописать коннект верный. все верно ? |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 24 Sep 2014 9:30 (Wed) Post subject: |
|
|
Полагаю, что stunnel нужно устанавливать под администратором.
Если настраивать по инструкции "Обмениваемся почтой по SSL (на примере gmail.com)", то в CMS нужно заменить адреса и порты внешних серверов. Для Mail.Ru: pop.mail.ru:110 -> 127.0.0.1:2112, smtp.mail.ru:25 -> 127.0.0.1:2027.
Как настроить stunnel тоже написано в этой инструкции. |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 29 Mar 2015 19:09 (Sun) Post subject: |
|
|
Добавили в CMS 3.05 beta 1:
Code: | [!] Поддержка защищённых соединений (SSL/TLS) с внешними SMTP- и
POP3-серверами, в том числе при MX-доставке. |
|
|
Back to top |
|
|
|