test/confs/5450

   1 # Exim test configuration 5450
   2 # TLS client: verify certificate from server - name-fails
   3
   4 SERVER=
   5
   6 exim_path = EXIM_PATH
   7 host_lookup_order = bydns
   8 primary_hostname = myhost.test.ex
   9 rfc1413_query_timeout = 0s
  10 spool_directory = DIR/spool
  11 log_file_path = DIR/spool/log/SERVER%slog
  12 gecos_pattern = ""
  13 gecos_name = CALLER_NAME
  14
  15 FX = DIR/aux-fixed
  16 S1 = FX/exim-ca/example.com/server1.example.com
  17
  18 CA1 =   S1/ca_chain.pem
  19 CERT1 = S1/server1.example.com.pem
  20 KEY1 =  S1/server1.example.com.unlocked.key
  21 CA2 =   FX/cert2
  22 CERT2 = FX/cert2
  23 KEY2 =  FX/cert2
  24
  25 # ----- Main settings -----
  26
  27 acl_smtp_rcpt = accept
  28
  29 log_selector =  +tls_peerdn+tls_certificate_verified
  30
  31 queue_only
  32 queue_run_in_order
  33
  34 tls_advertise_hosts = *
  35
  36 # Set certificate only if server
  37
  38 tls_certificate = ${if eq {SERVER}{server}{CERT1}fail}
  39 tls_privatekey = ${if eq {SERVER}{server}{KEY1}fail}
  40
  41 tls_verify_hosts = *
  42 tls_verify_certificates = ${if eq {SERVER}{server}{CERT2}fail}
  43
  44
  45 # ----- Routers -----
  46
  47 begin routers
  48
  49 server_dump:
  50   driver = redirect
  51   condition = ${if eq {SERVER}{server}{yes}{no}}
  52   data = :blackhole:
  53
  54 client_x:
  55   driver = accept
  56   local_parts = userx
  57   retry_use_local_part
  58   transport = send_to_server_failcert
  59   errors_to = ""
  60
  61 client_y:
  62   driver = accept
  63   local_parts = usery
  64   retry_use_local_part
  65   transport = send_to_server_retry
  66
  67 client_z:
  68   driver = accept
  69   local_parts = userz
  70   retry_use_local_part
  71   transport = send_to_server_crypt
  72
  73 client_q:
  74   driver = accept
  75   local_parts = userq
  76   retry_use_local_part
  77   transport = send_to_server_req_fail
  78
  79 client_r:
  80   driver = accept
  81   local_parts = userr
  82   retry_use_local_part
  83   transport = send_to_server_req_failname
  84
  85 client_s:
  86   driver = accept
  87   local_parts = users
  88   retry_use_local_part
  89   transport = send_to_server_req_passname
  90
  91 client_t:
  92   driver = accept
  93   local_parts = usert
  94   retry_use_local_part
  95   transport = send_to_server_req_failcarryon
  96
  97
  98 # ----- Transports -----
  99
 100 begin transports
 101
 102 # this will fail to verify the cert at HOSTIPV4 so fail the crypt requirement
 103 send_to_server_failcert:
 104   driver = smtp
 105   allow_localhost
 106   hosts = HOSTIPV4
 107   hosts_require_tls = HOSTIPV4
 108   port = PORT_D
 109   tls_certificate = CERT2
 110   tls_privatekey = CERT2
 111
 112   tls_verify_certificates = CA2
 113
 114 # this will fail to verify the cert at HOSTIPV4 so fail the crypt, then retry on 127.1; ok
 115 send_to_server_retry:
 116   driver = smtp
 117   allow_localhost
 118   hosts = HOSTIPV4 : 127.0.0.1
 119   hosts_require_tls = HOSTIPV4
 120   port = PORT_D
 121   tls_certificate = CERT2
 122   tls_privatekey = CERT2
 123
 124   tls_verify_certificates = \
 125     ${if eq{$host_address}{127.0.0.1}{CA1}{CA2}}
 126
 127 # this will fail to verify the cert but continue unverified though crypted
 128 send_to_server_crypt:
 129   driver = smtp
 130   allow_localhost
 131   hosts = HOSTIPV4
 132   hosts_require_tls = HOSTIPV4
 133   port = PORT_D
 134   tls_certificate = CERT2
 135   tls_privatekey = CERT2
 136
 137   tls_verify_certificates = CA2
 138   tls_try_verify_hosts = *
 139
 140 # this will fail to verify the cert at HOSTNAME and fallback to unencrypted
 141 # Fail due to lack of correct CA
 142 send_to_server_req_fail:
 143   driver = smtp
 144   allow_localhost
 145   hosts = HOSTNAME
 146   port = PORT_D
 147   tls_certificate = CERT2
 148   tls_privatekey = CERT2
 149
 150   tls_verify_certificates = CA2
 151   tls_verify_hosts = *
 152
 153 # this will fail to verify the cert name and fallback to unencrypted
 154 # fail because the cert is "server1.example.com" and the test system is something else
 155 send_to_server_req_failname:
 156   driver = smtp
 157   allow_localhost
 158   hosts = HOSTNAME
 159   port = PORT_D
 160   tls_certificate = CERT2
 161   tls_privatekey = CERT2
 162
 163   tls_verify_certificates = CA1
 164   tls_verify_cert_hostnames = *
 165   tls_verify_hosts = *
 166
 167 # this will pass the cert verify including name check
 168 # our stunt DNS has an A record for server1.example.com -> HOSTIPV4
 169 send_to_server_req_passname:
 170   driver = smtp
 171   allow_localhost
 172   hosts = server1.example.com
 173   port = PORT_D
 174   tls_certificate = CERT2
 175   tls_privatekey = CERT2
 176
 177   tls_verify_certificates = CA1
 178   tls_verify_cert_hostnames = *
 179   tls_verify_hosts = *
 180
 181 send_to_server_req_failcarryon:
 182   driver = smtp
 183   allow_localhost
 184   hosts = HOSTNAME
 185   port = PORT_D
 186   tls_certificate = CERT2
 187   tls_privatekey = CERT2
 188
 189   tls_verify_certificates = CA1
 190   tls_verify_cert_hostnames = *
 191   tls_try_verify_hosts = *
 192
 193 # End