https://opennet.dev/openforum/vsluhforumID1/95876.html Доброго времени суток. На сервере стоит связка FreeBSD+apache+Courier-IMAP+MySQL+postfix+postfixadmin+fetchmail. На данном локальном почтовом сервере настроены виртуальные почтовые ящики. С помощью fetchmail данный сервер забирает почту по POP3 с внешних почтовых серверов, которые находятся на gmail.com, yandex.ru, mail.ru, rambler.ru, а затем пользователи с помощью почтовых клиентов забирают с него письма. Все работало нормально пока провайдеры не сделали обязательным SSL. Оно-то, конечно, безопасней, только вот в чем косяк... С mail, rambler и yandex почту fetchmail забирает без проблем, а вот gmail каждую неделю меняет SSL сертификаты и стабильно раз в неделю приходится их менять. Работу с сертификатами настраивал как написано здесь http://www.opennet.ru/base/net/fetchmail_setup.txt.html; ПУНКТ: "Избавимся от предупреждений касающихся ssl сертификата." Как побороть сей недуг? Заранее спасибо.<br> https://opennet.dev/openforum/vsluhforumID1/95876.html#10 Wed, 03 Dec 2014 11:20:24 GMT &gt;&gt; Если в /usr/local/etc/fetchmailrc описаны несколько аккаунтов, то будут проблемы с заменой fingerprint строк.<br>&gt; тогда никаких скриптов автоматизации, только хардкор, <br>&gt; тогда только руками скачивать, править и устанавливать, только врукопашную (( <br>&gt; и всё же, почему будут прогблемы?<br>&gt; что, для каждой учетки свой сертификат и отпечаток, неужели?<br><br>Ага. Сервера разные.<br>имхо, перед строкой fingerprint надо ставить комментарий-метку и по ней делать замену.<br><br><br> https://opennet.dev/openforum/vsluhforumID1/95876.html#9 Wed, 03 Dec 2014 05:47:17 GMT &gt; Если в /usr/local/etc/fetchmailrc описаны несколько аккаунтов, то будут проблемы с заменой fingerprint строк.<br><br>тогда никаких скриптов автоматизации, только хардкор,<br>тогда только руками скачивать, править и устанавливать, только врукопашную ((<br><br>и всё же, почему будут прогблемы?<br>что, для каждой учетки свой сертификат и отпечаток, неужели?<br> https://opennet.dev/openforum/vsluhforumID1/95876.html#8 Tue, 02 Dec 2014 16:44:37 GMT &gt;&gt;&gt; # Удаляем все из директории /usr/local/etc/fetchmail/sslcerts/ <br>&gt;&gt; А почему вы решили, что здесь хранятся сертификаты?<br>&gt;&gt; Директории /usr/local/etc/fetchmail/ не существует.<br>&gt;&gt; По-дефолту конфиг fetchmail в /usr/local/etc/fetchmailrc <br>&gt; Хых! ну у меня так, чтобы враги не догадались )) <br>&gt; ну это же не принципиально!<br><br>И второе:<br><br>Если в /usr/local/etc/fetchmailrc описаны несколько аккаунтов, то будут проблемы с заменой fingerprint строк.<br> https://opennet.dev/openforum/vsluhforumID1/95876.html#7 Tue, 02 Dec 2014 13:31:02 GMT &gt;&gt; # Удаляем все из директории /usr/local/etc/fetchmail/sslcerts/ <br>&gt; А почему вы решили, что здесь хранятся сертификаты?<br>&gt; Директории /usr/local/etc/fetchmail/ не существует.<br>&gt; По-дефолту конфиг fetchmail в /usr/local/etc/fetchmailrc <br><br>Хых! ну у меня так, чтобы враги не догадались ))<br>ну это же не принципиально!<br> https://opennet.dev/openforum/vsluhforumID1/95876.html#6 Tue, 02 Dec 2014 13:08:27 GMT &gt; # Удаляем все из директории /usr/local/etc/fetchmail/sslcerts/ <br><br>А почему вы решили, что здесь хранятся сертификаты?<br>Директории /usr/local/etc/fetchmail/ не существует.<br>По-дефолту конфиг fetchmail в /usr/local/etc/fetchmailrc<br><br><br><br> https://opennet.dev/openforum/vsluhforumID1/95876.html#5 Mon, 01 Dec 2014 18:10:17 GMT &gt; т.е. надо в лоб и других вариантов нет. Я понял Вас, спасибо. <br>&gt; Еще вопрос. Я с скриптами на вы и кое-что не понятно <br>&gt; например, что означает <br>&gt; '/^-----/,/^-----/p;/-----E/q' <br>&gt; '/^-----B/,/^-----E/p' <br>&gt; 's/^.*=\(.*\)/\1/') <br>&gt; s/\([A-F0-9]\{2\}:\)\{15\}[A-F0-9]\{2\}/ <br>&gt; s/"\(.*\)"/"'$FINPR'"/ <br>&gt; /dev/null 2&gt;& <br><br>Это называется потоковый редактор sed.<br>Добро пожаловать! ))<br><br>с помощью него мы и редактируем полученный (скачиваемый) сертификат,<br>обрезая лишнее и оставляя только то, что нам необходимо.<br><br>получаем отпечаток ключа, сохраняем его в переменной $FINPR,<br>ищем в файле fetchmailrc строку<br>sslfingerprint "DA:2F:CF:56:77:8B:D9:7F:D1:BC:1B:07:F1:27:C0:E8"<br>и заменяем в ней старый отпечаток на полученный новый.<br>После перезапускаем fetchmail,<br>чтобы он перечитал конфиг и знал про новый сертификат и отпечаток ключа.<br><br>Вроде все.<br>А! это /dev/null 2&gt;& - глушим выхлоп<br> https://opennet.dev/openforum/vsluhforumID1/95876.html#4 Mon, 01 Dec 2014 18:02:31 GMT &gt; А и еще почему необходимо?<br><br>ну иногда нужен самый последний сертификат,<br>если это не ваш случай, то вам оно не нужно<br><br>&gt; почему нельзя получить сертификат и сразу хешировать?<br><br>можно, если не нужен последний (см. выше)<br><br>мне нужны оба сертификата и соответственно их хеши (обоих)<br> https://opennet.dev/openforum/vsluhforumID1/95876.html#3 Mon, 01 Dec 2014 08:24:21 GMT А и еще почему необходимо?<br># Получаем сертификат Gmail<br>/bin/echo &#124; /usr/local/bin/openssl s_client -connect imap.gmail.com:993 -showcerts \<br>&#124; /usr/bin/sed -n '/^-----/,/^-----/p;/-----E/q' &gt; /usr/local/etc/fetchmail/sslcerts/gmail.pem<br><br># Скачиваем и получаем самый последний сертификат<br>/bin/echo &#124; /usr/local/bin/openssl s_client -connect imap.gmail.com:993 -showcerts \<br>&#124; /usr/bin/sed -n '/^-----B/,/^-----E/p' &#124; /usr/bin/sed '1p;/^--*B/,/^--*B/d' &gt; /usr/local/etc/fetchmail/sslcerts/gmail2.pem<br><br><br>почему нельзя получить сертификат<br>/bin/echo &#124; /usr/local/bin/openssl s_client -connect imap.gmail.com:993 -showcerts \<br>&#124; /usr/bin/sed -n '/^-----/,/^-----/p;/-----E/q' &gt; /usr/local/etc/fetchmail/sslcerts/gmail.pem<br><br>и сразу хешировать?<br><br> https://opennet.dev/openforum/vsluhforumID1/95876.html#2 Mon, 01 Dec 2014 07:43:56 GMT т.е. надо в лоб и других вариантов нет. Я понял Вас, спасибо. Еще вопрос. Я с скриптами на вы и кое-что не понятно например, что означает<br>'/^-----/,/^-----/p;/-----E/q'<br>'/^-----B/,/^-----E/p'<br>'s/^.*=\(.*\)/\1/')<br>s/\([A-F0-9]\{2\}:\)\{15\}[A-F0-9]\{2\}/<br>s/"\(.*\)"/"'$FINPR'"/<br>/dev/null 2&gt;&<br>