exch 2000 - smtp и tls авторизация
Модератор: Модераторы
Сообщений: 4
• Страница 1 из 1
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 02 фев 2005, 20:41
исходные данные - экченж 2к, сп3, последний update rollup - почта работает нормально.
возникла задача обеспечить защищённый доступ извне ко всему этому хозяйству - поднял сертификаты, установил - owa и pop3 через ssl работают.
но ведь мелкософтовцы уроды - они ведь не стали использовать стандартный 465 порт для smtp ssl, а как всегда изобрели чё-то своё - tls, который является туннелем через тот же самый 25 порт :-\
короче я поднял второй виртуальный смтп, с тем же самым ип, но порт у него сделал 465 - как обычный смтп он работает, когда включаешь tls - перестаёт.
ок - дал ему другой ип, порт 25 - в локалке заработало, из инета - хрен :-\
пишет 0x800CCC0F, что означает CONNECTION_DROPPED - т.е. я из инета захожу нормально на сервак, авторизуюсь там и он сразу "вешает трубку" :-\
потом прочитал, что для смтп в отличие от https и pop3/ssl необходимо наличие сертификата корня на клиенте - вот ведь уродство :-\
добавил - не пашет, добавил сертификат самого смтп сервера - ничего не изменилось, пробовал в имени пользователя домен указывать, через @ писать, своей домашней тачке суффикс настроил как у почтовика - бесполезно...
ну чё ему ещё надо?
почтовик стоит за вингейтом, на котором настроен форвардинг с 465 порта извне на внутренний ип второго виртуального смтп, с оверрайдом номера порта в стандартный - 25-ый. телнетом проверял - нормально захожу именно на второй смтп, т.к. он мне пишет типа давай starttls first.
в чём грабли?
возникла задача обеспечить защищённый доступ извне ко всему этому хозяйству - поднял сертификаты, установил - owa и pop3 через ssl работают.
но ведь мелкософтовцы уроды - они ведь не стали использовать стандартный 465 порт для smtp ssl, а как всегда изобрели чё-то своё - tls, который является туннелем через тот же самый 25 порт :-\
короче я поднял второй виртуальный смтп, с тем же самым ип, но порт у него сделал 465 - как обычный смтп он работает, когда включаешь tls - перестаёт.
ок - дал ему другой ип, порт 25 - в локалке заработало, из инета - хрен :-\
пишет 0x800CCC0F, что означает CONNECTION_DROPPED - т.е. я из инета захожу нормально на сервак, авторизуюсь там и он сразу "вешает трубку" :-\
потом прочитал, что для смтп в отличие от https и pop3/ssl необходимо наличие сертификата корня на клиенте - вот ведь уродство :-\
добавил - не пашет, добавил сертификат самого смтп сервера - ничего не изменилось, пробовал в имени пользователя домен указывать, через @ писать, своей домашней тачке суффикс настроил как у почтовика - бесполезно...
ну чё ему ещё надо?
почтовик стоит за вингейтом, на котором настроен форвардинг с 465 порта извне на внутренний ип второго виртуального смтп, с оверрайдом номера порта в стандартный - 25-ый. телнетом проверял - нормально захожу именно на второй смтп, т.к. он мне пишет типа давай starttls first.
в чём грабли?
domovoy » 03 фев 2005, 00:47
глобальный каталог
| Цитата |
| почтовик стоит за вингейтом, на котором настроен форвардинг с 465 порта извне на внутренний ип второго виртуального смтп, с оверрайдом номера порта в стандартный - 25-ый
[/quote] не помню но посмотри инфу, судя по посту хоть у тебя с этим (умением найти инфу) проблем не будет, помоему там кроме 465 порта были еще дополниельные порты т.е. открывать нужно не только 465, а еще что то, в том же ISA это по моему реализуется разрешением на открытие динамических поров после установления коннекта по основному, хота кстати дело может быть просто в WinGate который не может это обеспечить (не будем забывать, о его предназначении изначальном, и о привычке MS к своим продуктам, для специфических моментов). Правильно заданный вопрос - это уже половина ответа.
блин - проблема не в том чтобы найти инфу, проблема во времени :-)
просто если кто реально сталкивался, то было бы интересно услышать про возможные грабли... вингейт имо не виноват - коннект идёт снаружи, а изнутри сети у меня ни один порт не закрыт в принципе. тем более что 465 это фикция - можно было любой номер от балды выбрать, суть в том, что этот tls должен именно внутри 25-го пахать, т.е. порт именно один нужен. есть подозрение что это долбанный аутлук 2к косячит - он настолько кривой, что хуже просто некуда :-) попробую сегодня аутлук хп и ое 6. зы - а уведомление о твоём ответе мне чё-та до сих пор не пришло :-(
короче m$ придурки как всегда - их собственные клиенты с их собственными серверами глюкают :-)))
oe 6 не пашет - даже с корневым сертификатом центра сертификации, зато аутлук 2к2 пашет отлично - вообще без сертификатов: "Received: from me ([xx.xx.xx.xx]) by mail.xx.ru over TLS secured channel with Microsoft SMTPSVC(5.0.2195.6713);" причём ое глючит точно так же как и сам виртуальный сервер - tls отказывается работать через любой порт кроме 25 :-\ и самое смешное - сертификат установлен на второй виртуальный смтп, а подсоединиться через tls можно к обоим, хотя на первом даже кнопка communication в меню secure communication недоступна! во уроды :-\
Сообщений: 4
• Страница 1 из 1
Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 52 |