sendmail 允许对 TLS 对话进行一处限制。我想检查发送到 example.com 的消息是否发送到具有 *.messagelabs.com 证书的服务器。我想防止 DNS 欺骗和 MitM。如果 messagelabs 只有一台服务器,这很容易:
TLS_Rcpt:example.com VERIFY:256+CN:mx.messagelabs.com
然而,messagelabs 有很多服务器和不同服务器的集群,它们具有相同名称的唯一 IP 和证书。一切都很好,我只想检查我要发送邮件的服务器是否经过认证属于 messagelabs。
我努力了
TLS_Rcpt:example.com VERIFY:256+CN:messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:*.messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:.*.messagelabs.com
但我收到类似的错误
CN mail31.messagelabs.com does not match .*.messagelabs.com
我怎样才能做到这一点?这对我们来说是一个经常性的请求(主要是针对像 TLS_Rcpt:example.com VERIFY:256+CN:*.example.com 这样的配置),所以我准备好修改 sendmail.cf,但我无法理解
STLS_req
R $| $+ $@ OK
R<CN> $* $| <$+> $: <CN:$&{TLS_Name}> $1 $| <$2>
R<CN:$&{cn_subject}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2>
R<CN:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " CN " $&{cn_subject} " does not match " $1
R<CS:$&{cert_subject}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2>
R<CS:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " Cert Subject " $&{cert_subject} " does not match " $1
R<CI:$&{cert_issuer}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2>
R<CI:$+> $* $| <$-:$+> $#error $@ $4 $: $3 " Cert Issuer " $&{cert_issuer} " does not match " $1
ROK $@ OK
Sendmail 8.14.7(即将升级到 8.15.2)。