sendmail 允许对 TLS 对话进行一处限制。我想检查发送到 example.com 的消息是否发送到具有 *.messagelabs.com 证书的服务器。我想防止 DNS 欺骗和 MitM。如果 messagelabs 只有一台服务器,这很容易:
TLS_Rcpt:example.com VERIFY:256+CN:mx.messagelabs.com
然而,messagelabs 有很多服务器和不同服务器的集群,它们具有相同名称的唯一 IP 和证书。一切都很好,我只想检查我要发送邮件的服务器是否经过认证属于 messagelabs。
我努力了
TLS_Rcpt:example.com VERIFY:256+CN:messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:*.messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:.*.messagelabs.com
但我收到类似的错误
CN mail31.messagelabs.com does not match .*.messagelabs.com
我怎样才能做到这一点?这对我们来说是一个经常性的请求(主要是针对像 TLS_Rcpt:example.com VERIFY:256+CN:*.example.com 这样的配置),所以我准备好修改 sendmail.cf,但我无法理解
STLS_req
R $| $+ $@ OK
R<CN> $* $| <$+> $: <CN:$&{TLS_Name}> $1 $| <$2>
R<CN:$&{cn_subject}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2>
R<CN:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " CN " $&{cn_subject} " does not match " $1
R<CS:$&{cert_subject}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2>
R<CS:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " Cert Subject " $&{cert_subject} " does not match " $1
R<CI:$&{cert_issuer}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2>
R<CI:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " Cert Issuer " $&{cert_issuer} " does not match " $1
ROK $@ OK
Sendmail 8.14.7(即将升级到 8.15.2)。
这并不完全是对所提出问题的回答,但在我看来,您正在以艰难的方式做事。
Sendmail 配置的编写方式优先考虑软件解析该配置的简便性和效率,而不是易于人工配置和维护。近几十年来根本没有充分的理由这样做。
15 年前,Sendmail 是一个非常神秘的遗物。一些 linux 发行版在默认情况下仍然提供它,如果默认配置适合你,那很好,但是一旦你发现自己做任何事情需要花费超过几分钟的时间,你最好扔掉 sendmail 并安装一个现代 MTA .
大约 15 年前,qmail 可能仍然是一个明智的替代品,但在几乎那么长的时间里,我一直认为 postfix 是一个更好的选择。一旦你找到了你需要的东西,来自 postfix.org 网站的文档就很好了。在您的情况下,您需要http://www.postfix.org/TLS_README.html来解决这个问题。
我意识到您很可能已经花一些时间解决了 sendmail 中的一些问题,但与其花更多时间在那个洞里,不如尽早切换。如果你回头看,你会畏缩。
使 sendmail.cf 存储
${cn_subject}与主机部分剥离在${cn1_subject}.它使完成实现几乎是微不足道的。
访问入口:
sendmail.mc 修复以支持上述条目
解释:
Local_tls_rcpt规则集存储${cn_subject}${cn1_subject}${cn1_subject}的“额外部分”中添加由 CN1 前缀触发的检查TLS_req测试它的示例脚本