1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

ROZWIĄZANE Szyfrowanie poczty w tranzycie do home.pl

Dyskusja w 'Poczta home.pl' rozpoczęta przez użytkownika k123, 27 Marzec 2017.

  1. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Przejrzałem nagłówki wiadomości otrzymywanych od różnych dostawców email i nigdzie nie widziałem informacji, że wiadomość została zaszyfrowana w tranzycie.
    To znaczy, że były one przesyłane przez publiczną sieć jawnym tekstem.
    Tak jakby inne serwery pocztowe nie mogły nawiązać szyfrowanego połączenia TLS z serwerem home.
     
  2. casar

    casar Profesjonalista

    Wiadomości:
    467
    Docenione treści:
    122
    A kto według Ciebie powinien szyfrować wiadomości/negocjować szyfrowane połączenie? Nadawca czy odbiorca?
     
  3. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 562
    Docenione treści:
    325
    Z tego co wiem jedynym albo jednym ze sposobów szyfrowania danych, niezależnie od sposobu transmisji jaka zostanie wykorzystana do przesyłu, było by np. użycie kryptografii klucza publicznego. Jeśli jednak oczekujesz naszego stanowiska w tej sprawie, oczywiście zgłoszę temat do zespołu technicznego aby możliwie szybko i prosto wyjaśnili ten proces. Chyba, że Twoje pytanie dotyczy czegoś innego niż myślę.

    FEEDBACK-1082 wystawione.
     
  4. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Nadawca powinien szyfrować/negocjować w zależności od tego co jest dostępne u odbiorcy.
    Test na stronie www.checktls.com wykazał problem z weryfikacją certyfikatu RapidSSL:

    verify error:num=20:unable to get local issuer certificate
    verify return:1
    verify error:num=27:certificate not trusted
    verify return:1
    verify error:num=21:unable to verify the first certificate
    verify return:1

    Test na stronie https://cryptoreport.websecurity.symantec.com/checker/ również wykazuje problem:

    Certificate is not installed correctly
    You have 1 error
    Intermediate certificate missing.
    RapidSSL SHA256 CA

    Zgłosiłem to konsultantowi.
     
  5. casar

    casar Profesjonalista

    Wiadomości:
    467
    Docenione treści:
    122
    A to tu inna kwestia jest. Brakuje jakiegoś pośredniego certyfikatu. Skoro zgłosiłeś, to administrator powinien doinstalować pośrednie.
     
  6. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Może ktoś by sprawdził u siebie czy mu działa szyfrowanie?
    Hosting poczty na home + zaparkowana domena + certyfikat dla niej (najlepiej RapidSSL) i przesłać sobie wiadomość z konta gmail.com, wp.pl lub onet.pl. W odebranej wiadomości, w nagłówkach Received powinien być wpis typu:
    (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
     
  7. Grzesiek

    Grzesiek Centrum Pomocy home.pl Administrator forum

    Wiadomości:
    3 562
    Docenione treści:
    325
    Zaktualizowałem zgłoszenie. Rozumiem, że dotyczy to konkretnie Twoich usług tak? Czy możesz uzupełnić w PW którego konta/usług to dotyczy?
     
  8. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Podesłałem na PW.

    Certyfikaty RapidSSL były źle zainstalowane, home już to naprawił, ale nie rozwiązało to problemu braku szyfrowania poczty w tranzycie.
     
  9. joszi1980

    joszi1980 Początkujący

    Wiadomości:
    6
    Docenione treści:
    0
    Ja generowałem sobie TLS ręcznie, wysłałem testowego maila do gmaila i wygląda to tak:
    Nie wiem czy będziesz miał opcję dodania certyfikatu, gdy to zrobisz ręcznie(nie wiem jak to wygląda w panelu home). ja do poczty mam postawionego postfixa.

    Delivered-To: **********
    Received: by 10.80.152.228 with SMTP id j91csp2055484edb;
    Wed, 29 Mar 2017 13:52:36 -0700 (PDT)
    X-Received: by 10.46.33.209 with SMTP id h78mr922919lji.53.1490820756107;
    Wed, 29 Mar 2017 13:52:36 -0700 (PDT)
    Return-Path: <**********>
    Received: from ********** (**********. [**********])
    by mx.google.com with ESMTPS id 17si34797ljo.99.2017.03.29.13.52.35
    for <**********@gmail.com>
    (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
    Wed, 29 Mar 2017 13:52:35 -0700 (PDT)
    Received-SPF: pass (google.com: domain of ********** designates ********** as permitted sender) client-ip=**********;
    Authentication-Results: mx.google.com;
    dkim=pass header.i=@**********;
    spf=pass (google.com: domain of ********** designates ********** as permitted sender) smtp.mailfrom=**********;
    dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=**********
    Received: from [192.168.1.101] (unknown [**********]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) by ********** (Postfix) with ESMTPSA id E60E8C862 for <**********@gmail.com>; Wed, 29 Mar 2017 22:52:04 +0200 (CEST)
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=**********; s=mail; t=1490820725; bh=arKD9FBYB1YvPHf0Eds7I3J+15lIKC9hLp5uUI9ohPw=; h=Date:Subject:From:To:From; b=Rir3LklMrrFGTJx6yUdvqZLMbKusKRSsE0/lwKgrLVZEH9w7SsxbBysV7SKZ96VB/
    X45DDZGaTkC4VXXvJu0P+ZePbO9VzdE1O7WDuv1h5OPXkk6zfOOV2REN2bAT0zD586
    IEQ6bHnAoUDdFBh8Ju2wjy3nr+rFeq9VhM1lCtBI=

    ********** <--- domeny, localpart i adresy ip
     
    Ostatnia modyfikacja: 29 Marzec 2017
  10. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Chodzi o transfer w drugą stronę: od internetu do home.
    Przykładowo, gdy wysyłam wiadomości:
    • gmail -> wp,
    • gmail -> onet,
    • wp -> onet,
    • wp -> gmail
    • onet -> wp
    • onet -> gmail
    to zawsze mam informację, że transmisja była szyfrowana.
    Gdy wysyłam:
    • gmail -> home
    • onet -> home
    • wp -> home
    nigdy nie mam informacji w nagłówkach odebranej wiadomości, że transmisja była szyfrowana.
    Nie wiem, może transmisja rzeczywiście jest szyfrowana, ale tylko serwer odbierający home nie wypisuje żadnej informacji o tym.
    Na gmailu jest nawet tak, że jeżeli wiadomość została przysłana bez szyfrowania to we widoku wiadomości, pod nadawcą jest ikona zerwanej kłódki, a po wyświetleniu szczegółów wiadomości w sposób czytelny dla człowieka, też jest informacja o szyfrowaniu (albo jego braku na czerwono):

    [​IMG]
     
  11. joszi1980

    joszi1980 Początkujący

    Wiadomości:
    6
    Docenione treści:
    0
    za mało informacji podajesz aby można było ci pomóc.
    wklejasz wiadomość z wp do gmaila a problem jest z smtp po twojej stronie... nie wiadomo co to za smtp ? czy masz dostęp do jakiś logów ? spróbuj połączyć się telnetem z twoim smtp i wyślij jakąś wiadomość, wklej wynik...
    sprawdź komunikację międzyserwerową port 25 i klienta port 465
     
  12. casar

    casar Profesjonalista

    Wiadomości:
    467
    Docenione treści:
    122
    Ja mam co prawda tylko standardowy cert serwerowy, ale to jest RapidlSSL i mam taki zapis:

    Kod:
    for <domnie@casar.pl>
            (version=TLS1_1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
            Thu, 30 Mar 2017 10:45:26 -0700 (PDT)
    tylko przy wysyłce z poziomu programu pocztowego (wysyłka z Google do Home i z Google do WP), co jest logiczne, bo mam ustawione szyfrowanie TLS. Przy wysyłce ze strony poczty Gmail takiego zapisu nie ma.
     
  13. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Robię to tak: w usłudze Business Cloud Server od home.pl mam zaparkowaną domenę mojadomena.pl i zainstalowany certyfikat. Wchodzę na gmaila, onet lub wp, wysyłam wiadomość na adres@mojadomena.pl. Następnie wchodzę na poczta.home.pl loguję się na skrzynkę adres@mojadomena.pl, klikam na odebraną nową wiadomość i wybieram opcję Wyświetl źródło.
    W źródle jest taki nagłówek:
    Kod:
    Received: from mail-XXX-XXXX.google.com (XXX.XXX.XXX.XXX) (HELO mail-XXX-XXXX.google.com)
     by nazwa_serwera.home.pl (XXX.XXX.XXX.XXX) with SMTP (IdeaSmtpServer 0.82)
     id XXXXXXXXX; Thu, 30 Mar 2017 XX:XX:XX +XXXX
    Ani śladu ciphera TLS.
     
  14. joszi1980

    joszi1980 Początkujący

    Wiadomości:
    6
    Docenione treści:
    0
    na https://home.pl/hosting/specyfikacja jest napisane, że masz dostęp do ssh.
    Więc prawdopodobnie masz dostęp do logów i konfiguracji serwera. Sprawdź co to za MTA... itd...
    Nie wiem jak hosting rozwiązało home ale prawdopodobnie poprzez ssh da się zrobić wszytko.
    https://pomoc.home.pl/baza-wiedzy/j...tp-mta-oraz-ftp-przez-protokol-ssh-lub-ftp/#2
    Wydaje mi się, że nie potrafisz korzystać z konsoli textowej i w tym problem. Logi to podstawa w diagnozowaniu czegokolwiek...
     
    Ostatnia modyfikacja: 31 Marzec 2017
  15. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Czytałeś to co zalinkowałeś?
    Przecież jest tam napisane, że logi MTA dotyczą tylko poczty wychodzącej:
    Przejrzałem te logi i potwierdzam, że nie ma tam nic o poczcie przychodzącej.
    Poza tym:
     
  16. joszi1980

    joszi1980 Początkujący

    Wiadomości:
    6
    Docenione treści:
    0
    Witaj
    Jedyne co wiemy to, że nie działa ci komunikacja między-serwerowa z wykorzystaniem TLS
    Jeśli chcesz to podaj nazwę domeny a ja postaram się sprawdzić.
    Najlepiej podaj cały działający adres e-mail.
    lub wyślij testowego maila na postmaster@craws.eu
    EDIT:
    Jeśli chodzi o to, że MTA jest serwerem poczty wychodzącej to tak, ale jest też transportem dla poczty przychodzącej (chodzi o to, że smtp1 komunikuje się poprzez port 25 z smtp2. oba serwery i przyjmują i wysyłają pocztę czyli obsługują pocztę i wychodzącą i przychodzącą. Następnie dzięki IMAP bądź POP3 możesz tą pocztę pobrać z konkretnego folderu [do tego folderu poczta została przetransportowana właśnie przez MTA/smtp]).
    Dziwne byłoby gdyby home filtrowało logi. Chyba, że używane są 2 serwery MTA (rekord IN MX wskazuje inny serwer niż ten z jakiego ślesz pocztę[ciężko mi to sobie wyobrazić])
     
    Ostatnia modyfikacja: 31 Marzec 2017
  17. Mariusz

    Mariusz pomoc.home.pl home.pl Administrator forum

    Wiadomości:
    3 060
    Docenione treści:
    301
    Najłatwiej będzie to zaprezentować na przykładzie (z przykładu usunąłem nazwy domen i hosty):
    Kod:
    31.03.2017 00:24:54 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 220 - [CONNECT] --> lbc4.host.host ESMTP ready
    31.03.2017 00:24:54 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 250 - EHLO cloudserver2081394.home.net.pl --> lbc4.host.host ? AUTH=PLAIN LOGIN ? ENHANCEDSTATUSCODES ? SIZE 1073741824 ? 8BITMIME ? AUTH PLAIN LOGIN ? STARTTLS
    31.03.2017 00:24:54 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 220 - STARTTLS --> 2.0.0 Start TLS
    31.03.2017 00:24:54 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 250 - EHLO cloudserver2081394.home.net.pl --> lbc4.host.host ? AUTH=PLAIN LOGIN ? ENHANCEDSTATUSCODES ? SIZE 1073741824 ? 8BITMIME ? AUTH PLAIN LOGIN
    31.03.2017 00:24:54 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 250 - MAIL FROM:<auto@nasza-klasa.pl> --> 2.0.0 OK
    31.03.2017 00:24:55 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 554 - RCPT TO:<test@domena.pl> --> 5.7.1 Relay access denied.
    31.03.2017 00:24:55 0331002454_E008F8E9 [auto@nasza-klasa.pl] [nazwa-serwera] 89.161.250.XXX:54406 [domena.pl] 85.128.134.XXX:25 - -
    [DISCONNECT]
    Jak widać nasz serwer stara się zawsze nawiązywać połączenia szyfrowane (oczywiście sesje SMTP zacznie nieszyfrowaną, aby później przejść na kanał szyfrowany - polecenie STARTTLS).

    Jeśli zdalny serwer rozumie co się do niego mówi i umie szyfrować to wiadomość leci szyfrowana Jeśli nie to jest fallback do kanału nieszyfrowanego (plain text).

    Natomiast w drugą stronę - to od serwera wysyłającego zależy co zrobi.
    Przykładowo:
    • może zrobić tak samo jak u nas - zacząć plain textem, aby przejść na TLS, jeśli zdalny serwer się na to zgodzi
    • jeśli zdalny serwer się nie zgodzi to może np. wysłać plain textem, albo
    • próbować do skutku, albo
    • nie wysłać wiadomości w ogóle
    Dużo zależy od tego jak jest skonfigurowany serwer wysyłający - czy obsługuje TLS 1.2, oraz czy ma taki sam zestaw szyfrów (cipher=ECDHE-RSA-AES128-GCM-SHA256 itp.)

    Podsumowując, serwery home.pl na pewno przyjmują połączenie szyfrowane.

    Zrobiłem test - wysłałem sobie wiadomość z gmaila:
    Kod:
    31.03.2017 21:08:31 mail-wm0-f52.google.com [74.125.82.52] smtp/ssl [] mess: 2c8383248c1f1fda 2647 from: <test@konto-na-gmail.pl> [] to: <test@inne-konto.pl> [test+inne-konto_pl.nazwaserwera] status: LOCAL OK [INBOX/158 test@inne-konto.pl] spam: 10/100 [normal]
    
    W logach znajduje się informacja, że wiadomość została zaszyfrowana, zostało to oznaczone w powyższym logu tym fragmentem: smtp/ssl.

    Co prawda w nagłówku wiadomości nie ma informacji o szyfrowaniu, ale jak widać w logach wiadomość została przesłana zaszyfrowana. Nagłówek wiadomości e-mail nie musi o tym informować.
     
    k123 lubi to.
  18. k123

    k123 Zaglądacz

    Wiadomości:
    10
    Docenione treści:
    0
    Gdzie mogę ten log podejrzeć jako administrator wykupionego hostingu?
    Gdzie mogę ten log podejrzeć jako użytkownik poczty?

    SUGESTIA: Dodajcie wypisywanie informacji w nagłówkach wiadomości o tym czy wiadomość przychodząca była szyfrowana.
    Praktycznie chyba każdy operator poczty to ma. Łącznie z darmowymi: onet i wp.
    Gmail rysuje nawet ikonę zerwanej kłódki gdy wiadomość, która przyszła nie była szyfrowana.
    Zdaje się że podczas przetwarzania danych osobowych, np. przesyłania ich przez publiczną sieć internetową, ma się ustawowy obowiązek zabezpieczenia danych przed dostępem osób nieupoważnionych.
    Wolałbym móc sprawdzić i wiedzieć, czy dane, które przesłał mi np. jakiś sklep internetowy, zostały przesłane do mnie w sposób zabezpieczony (w minimalny sposób: z wykorzystaniem TLS) czy może szły w formie jawnej pocztówki.

    Inna sprawa: pliki log, które są dostępne przez SSH i FTP mają błędne rozszerzenie TXT, podczas gdy są to chyba archiwa GZ.
     
  19. Mariusz

    Mariusz pomoc.home.pl home.pl Administrator forum

    Wiadomości:
    3 060
    Docenione treści:
    301
    Są to logi SMTP (wskazują całych ruch z serwera pocztowego). Do logów SMTP klienci nie mają bezpośredniego dostepu. Logi SMTP mogą zostać wydane przez naszych administratorów w ramach Profesjonalnych usług IT.

    Wystawiłem zgłoszenie w naszym wewnętrznym systemie, aby kierownik produktu mógł się z nią zapoznać (numer zgłoszenia: FEEDBACK-1087).

    Tak zgadza się, w tym przypadku mogą być zastosowane również inne formy zabezpieczenia, np. gnuPG lub chociażby spakowanie do archiwum z hasłem. Kwestia zabezpieczenia leży po stronie nadawcy takiej wiadomości. W przypadku serwerów pocztowych home.pl, to wyjaśniłem to na powyższym przykładzie (oczywiście sesja SMTP rozpocznie się jako nieszyfrowana, aby później przejść na kanał szyfrowany - polecenie STARTTLS).

    Tak zgadza się są to pliki skompresowane, nalezy te pliki TXT po pobraniu wypakować za pomocą TAR GZ.
     

Poleć forum znajomym