ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: mail ssl


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: mail ssl
  • From: Vitaliy Okulov <vitaliy.okulov@xxxxxxxxx>
  • Date: Sun, 12 Jul 2009 22:24:44 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type; bh=jCr9XaJRKKs9oAu1Dvf72zyiL+iknrxITEUzAFB5TH0=; b=ic/tRfTy1hfuOIC1K6zaWNPojxBwsYTWH8yq6TU1ouhlwf2eWzKGsg/tk/lxKf5A3u TZWJio/6xohvmHaHofdx7C236++G2ewBzNyz417g81mVGrSI8n8DVDlrCQYq9+6SwoDT Thk0iEdrM3MzhlPi5q+YxCKIGaNNNiz6jb2DQ=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; b=WCUKhrMW0qWC6Dhs4GaFkCAsIJdCJ8kp9bAYUJ2s806DElVzXQ6ZqUjlU390kwJSjO Qssauk+B6f9aMXp5PxOUWOmhBBl1iL6ZO71tFhzibk03cjPpdJ9tIZJEM6UnO4KBgGem SrsQSxLbgV7mQqu2d/tPx4Jn076cu2bwbCWaQ=
  • In-reply-to: <4A58E265.9070705@xxxxxxxxxxxx>
  • References: <4A58E265.9070705@xxxxxxxxxxxx>

Настройте политику паролей в AD и проверяйте пароли пользователей какой-нибудь утилитой, возможно по словарю.
Обсудите политику использования паролей со своим руководителем.
Предоставте доступ к почтовому серверу после подключения по VPN.

Способов решения вашей проблемы много, и клиентские сертификаты IMHO неоптимален.

11 июля 2009 г. 23:05 пользователь Igor Muratov <migor@xxxxxxxxxxxx> написал:
Приветствую.

Вот прочитал в документации по модулю mail ssl:

> This module ensures SSL/TLS support for POP3/IMAP/SMTP. Configuration
> is practically identical to the configuration of the HTTP SSL <http://wiki.nginx.org/NginxHttpSslModule> module, but
> checking client certificates is not supported

Хочу спросить. Поддержка еще не сделана или она даже не планируется?
Если не планируется то каковы причины такого решения?

Опишу простую ситуацию. Есть толпа пользователей которые сами могут себе менять пароли. К сожалению самым популярным паролем становится 123. Самые продвинутые используют свои трехбуквенные инициалы или клички собак. Более того, когда крупные менеджеры заявляют что у них есть масса других вещей которые нужно помнить и поэтому им не до паролей, а отвечать за безопасность их данных всеравно мне. То в такой ситуации выставлять корпоративный почтовый сервер в инет совершенно не хочется, но приходится.
Как вариант, можно было бы сделать двухстороннюю авторизацию SSL и тогда мне уже будет без разницы какой пароль использует пользователь для POP3/IMAP, заодно появится возможность давать своим людям SMTP даже когда они в разъездах и пишут из какой-нибудь гостинницы.

Вот в такой ситуации проверка сертификата пользователя была бы очень кстати.




  • References:

 




Copyright © Lexa Software, 1996-2009.