[Postfixbuch-users] Inhalt und Betreff verschlüsseln

Patrick Ben Koetter p at state-of-mind.de
Do Aug 12 23:57:30 CEST 2004


* Carsten Lucke <luckec at tool-garage.de> [040812 23:33]:
> Hi,
> 
> ich habe eine kurze Frage.
> 
> Ich habe Postfix + Cyrus laufen. Ich benutze stunnel für pop3s/imaps und 
> habe auch die TLS-Sachen entsprechend dem Postfixbuch eingestellt:
> 
> smtpd_use_tls = yes
> smtpd_tls_auth_only = no
> smtpd_tls_key_file = /etc/postfix/kitkat.key.pem
> smtpd_tls_cert_file = /etc/postfix/kitkat.cert.pem
> smtpd_tls_CAfile = /etc/postfix/cacert.pem

OK

> smtp_use_tls = yes
> smtp_tls_key_file = /etc/postfix/kitkat.key.pem
> smtp_tls_cert_file = /etc/postfix/kitkat.cert.pem
> smtp_tls_CAfile = /etc/postfix/cacert.pem

Das brauchst Du für die hier beschriebene Problemstellung nicht. Es ist
nur nötig, wenn der Postfix smtp client TLS nutzen soll, wenn er mails
an remote MTAs, die TLS anbieten, nutzen soll. In dem Fall würde ich
allerdings ein anderes "smtp_tls_CAfile" file benützen; eines das über
alle CA certs der bekannten Certification Authorities verfügt.
Anderfalls wirst Du viele logeinträge finden, die Dir erzählen, dass
Dein Postfix das Zertifikat der Gegenstelle nicht verifizieren konnte.

Als guter Ersatz könnte Dir da das CA cert file vom Apache dienen. Es
ist voller gültiger CA certs.

> Mein Versuchsaufbau sieht wie folgt aus:
> 
> Client: bounty -> 192.168.0.120
> Server: kitkat -> 192.168.0.252
> 
> Wenn ich über imaps Mails abhole, dann kann ich zwar das Passwort
> nicht sniffen, den Inhalt der Mail allerdings schon. Sollte das nicht
> alles verschlüsselt sein?

An welcher Stelle sniffst Du denn? Am Anfang? Am Ende? Mittendrin?

Grundsätzlich gilt: Mit SSL oder stunnel verschlüsselst Du das Transport
Layer, nicht aber die darin transportierten Inhalte; die sieht halt dann
keiner, weil ja das Transport Layer verschlüsselt ist. Erst wenn die
Daten angekommen sind und auf die Platte geschrieben werden, kann man
wieder ohne Schlüssel auf sie zugreifen. Dann ist es alles wieder
plaintext.

Wenn Du jetzt sagt, daß Du das Passwort nicht sniffen kannst, aber den
Inhalt der Mail, dann macht mich das stutzig, denn eine verschlüsselte
Verbindung sollte _vor_ dem Übertragen von login aufgebaut werden und
erst _nach_ Übermittlung aller Daten abgebaut werden.

> Was auch komisch ist: Wenn ich ohne TLS Mails versende/abhole, dann
> kann ich das Passwort (SMTP) nicht sniffen, vom IMAP krieg ich das
> Login aber gesnifft.

So wie es aussieht, hat Deine Config auch SMTP AUTH dabei, ja? Wenn das
der Fall ist, kann es durchaus sein, daß Dein Mail client gar kein Pass
sendet, weil er einen shared-secret mechanismus wie z.B. CRAM-MD5
benützt; da werden keine Passworte ausgetauscht, sondern nur Daten die
nachvollziehen lassen, das der Client über das richtige Passwort
verfügte um die ausgetauschten Daten zu erstellen...

> Ich hoffe, dass ich dass nicht allzu wirr beschrieben habe.

Ich hoffe ich habe Dir um die Uhrzeit eine hilfreiche Antwort gegeben ;)

p at rick

-- 
Ich behalte mir vor Nachrichten, die nicht an die Liste zurückgesendet
werden, zu ignorieren. Open Source Software verlangt auch offenen Zugang
zu Wissen, das schildert wie man sie einsetzt.
Entzieht den anderen dieses Wissen nicht, indem ihr unaufgefordert auf
einen privaten Kanal wechselt!

SMTP AUTH HOWTO: <http://postfix.state-of-mind.de/patrick.koetter/>



Mehr Informationen über die Mailingliste Postfixbuch-users