From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <as@tomo.nsc.ru>
From: Andrej Savelov <as@tomo.nsc.ru>
To: Salavat Yarmukhametov <salavat@regiongarant.ru>,
	community@altlinux.ru
Subject: Re: [Comm] =?koi8-r?b?0M/e1ME=?=
Date: Tue, 21 Dec 2004 13:44:50 +0600
User-Agent: KMail/1.6.2
References: <20041221070236.GD32321@regiongarant.ru>
In-Reply-To: <20041221070236.GD32321@regiongarant.ru>
MIME-Version: 1.0
Content-Disposition: inline
Content-Type: text/plain;
  charset="koi8-r"
Content-Transfer-Encoding: 8bit
Message-Id: <200412211344.50552.as@tomo.nsc.ru>
X-Scanned-By: milter-sender/0.55.730 (ns []); Tue, 21 Dec 2004 13:44:50 +0600
X-Virus-Scanned: by amavisd-new
Cc: 
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 21 Dec 2004 07:45:08 -0000
Archived-At: <http://lore.altlinux.org/community/200412211344.50552.as@tomo.nsc.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Tuesday 21 December 2004 13:02, Salavat Yarmukhametov wrote:
>  Здраствуйте, подскажите кто как рашает проблему с мобильными
> пользователями? Необходимо дать возможность сотрудникам из филиалов и
> ездящих в командировки отправлять почту через почтовый сервер компании.
> Стоять будет Master2.4. Поделитесь ссылками на доки.

Во-первых, путешественники не только хотят посылать, но и забирать свою почту 
с сервера. Открывать pop3 наружу я принципиально не хотел, поскольку пароли у 
народа, как правило, легко угадываются.
В итоге, на сервере поднят stunnel, который слушает smtps и pop3s порты и 
локально перенаправляет их на smtp и pop соответственно. Путешественнику 
выдаётся Thunderbird с сертификатом, который умеет заворачивать pop и smtp 
соединения в ssl туннель. Почтовик может стоять на лаптопе или на флешке, кто 
чем богат. В последнем случае использую "портативный" bird 
http://johnhaller.com/jh/mozilla/portable_thunderbird/

Сертификаты самого stunnel-я и почтовика подписаны самодельным корневым 
сертификатом, что позволяет им проверять валидность друг друга.

Для изготовления сертификатов используется, легко догадаться, openssl. Процесс 
выглядит примерно так:

Генерится пара ключей
openssl req -new -keyout userreq.pem -out userreq.pem

Подписывается авторитетом
openssl ca -out username.pem -infiles userreq.pem

Экспортируется в pkcs12
openssl pkcs12 -in username.pem -inkey userreq.pem \
-certfile path-to-root-cert \
-out username.p12 -export -name "User Name"

username.p12 импортируется в почтовик. 

Технология работает около полугода, косяков не замечено. В качестве побочного 
эффекта, владельцы сертификатов могут посылать друг другу 
подписанные/зашифрованные письма.

Читать детали конфигурации в доках к stunnel и openssl.

Удачи!
А.С.