Vlákno názorů k článku Stavíme vlastní e-mailový server: webmail RainLoop od anon - webmail i mailserver jsou na stejném fyzickém stroji,...
-
Filip JirsákStříbrný podporovatelJe to obecný návod – když budete chtít webmail nainstalovat na jiný stroj, můžete postupovat podle stejného návodu.
A obecně moc nechápu tenhle přístup, kdy se u každé věci znovu posuzuje, zda je fakt nutné šifrovat. Není lepší opačný přístup? Prostě šifrovat vše, pokud není nějaký vážný důvod nešifrovat. Připadá mi takový přístup mnohem jednodušší a bezpečnější.
-
anon (neregistrovaný)
> A obecně moc nechápu tenhle přístup, kdy se u každé věci znovu posuzuje, zda je fakt nutné šifrovat.
Já si naopak myslím, že je dobré umět posoudit, kdy je co "fakt nutné". Dokonce bych řekl, že umět to posoudit je nesmírně důležité. Bezmyšlenkovitě něco nastavit si podle mě dobrý sysadmin nemůže dovolit. Samozřejmě máte pravdu, obecná poučka je "šifrování je dobré" - ale tenhle článek čte hodně lidí a pokud má sloužit jako osvěta ("měli byste šifrovat spojení"), neměl by navádět k fanatismu ("šifrovat se musí vždycky a všude za každou cenu a není dobré nad tím vůbec přemýšlet").
V tomto konkrétním případě si myslím, že je lepší nešifrovat. Protože aby někdo zachytil takovou komunikaci - to už by musel mít roota na tomhle konkrétním stroji - no a to je game over šifruj, nešifruj.
Takže to nepřináší žádné benefity. Naopak, znamená to, že i backend webmailu je závislý na (hádám) OpenSSL knihovnách, na jejich bindings pro PHP, na platném certifikátu .. co třeba OCSP stapling? Co když nebude CRL dostupný?
V tomhle konkrétním případě je to prostě zbytečné a nese to sebou několik vrstev navíc, kde se může něco pokazit.
-
Filip JirsákStříbrný podporovatel
Znovu zopakuji, že jde o obecný návod – podle kterého může postupovat i někdo, kdo bude mít ten webmail na jiném zařízení, a pak s emu ten návod na rozchození šifrování bude hodit. Pokud má někdo webmail i IMAP server na jednom zařízení, neměl by pro něj být problém tu konfiguraci šifrování přeskočit.
-
On vás k tomu vlastně nikdo nenutí, ale taky vás nikdo nenutí k tomu, aby byl RainLoop na stejném serveru. Šifrování nikomu neublíží, časy, kdy to bylo výpočetně náročné jsou dávno pryč a pokud se nebavíme o serveru s mnoha současnými přístupy, řešit takovou drobnost je zbytečné. Certifikát je obnovován automaticky a pokud vyprší, RainLoop asi nebude to, co vás bude v první chvíli trápit nejvíc.
-
anon (neregistrovaný)
> řešit takovou drobnost je zbytečné
V tom se mýlíte. Není to drobnost a řešit by ji sysadmin rozhodně měl. Nebo by se nad tím měl alespoň zamyslet - zvážit svoji volbu. Neznám moc lidí, pro které e-mail není kritickou službou.
viz má reakce o kousek výše (https://www.root.cz/clanky/stavime-vlastni-e-mailovy-server-webmail-rainloop/nazory/928643/)
