[devel] Re: [sisyphus] Postfix+TLS

[Alexei Takaseev]

On Sat, 25 Oct 2003 23:37:40 +0400
"Dmitry V. Levin" <ldv на altlinux.org> wrote:

> On Sat, Oct 25, 2003 at 08:02:26AM +0300, Serge V Kompan wrote:
> [...]
> > Есть просьба к мантейнеру данного пакета: Если можно собирите
> > postfix с поддержкой TLS
> 
> Всё бы ничего, если бы не размер патча:
> $ wc pfixtls-0.8.16-2.0.16-0.9.7b/pfixtls.diff
>    7845   37646  268752 pfixtls-0.8.16-2.0.16-0.9.7b/pfixtls.diff
> $ lsdiff pfixtls-0.8.16-2.0.16-0.9.7b/pfixtls.diff |wc -l
>      42
> 
> Отсмотреть такой объём кода у меня сейчас возможности нет.

Там больше половины патча - документация :)

> Вопросы в первую очередь к тем, кто этот патч видел и/или использует:
> - как можно было бы собрать postfix-tls в виде дополнения к
> стандартному

То, что в одну кучу свалили IPv6 и TLS мне совсем не нравится. Может,
для начала, взять на заметку патч для поддержки TLS от
http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/ ? Ну гораздо
скромнее он по количеству изменений.

>   postfix'у, чтобы не подвергать риску последний?
> - какая должна быть конфигурация по умолчанию, поставляемая с
> postfix-tls?

/etc/postfix/main.cf
...
# TLS
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/tls/newreq.pem
smtpd_tls_cert_file = /etc/postfix/tls/newcert.pem
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
...

Выставление параметров smtp_use_tls и smtpd_use_tls в значение "no"
полностью дезактивирует все остальные *_tls_* значения. На мой взгляд,
для "по-умолчанию" это самые оптимальные настройки.