[Postfixbuch-users] Keygenerierung OpenSSL

[Patrick Ben Koetter]

* Jim Knuth <jk at jkart.de> [040628 23:09]:
> > Die tragen doch alle "mail.provider.de" als SMTP/POP3-Host ein und dazu
> > muß eben das Zertfikat passen. Da hat ausnahmsweise noch nicht mal 
> > Confixx irgendwas mit zu tun... :-)
> 
> ja, die tragen mail.xyz.de ein. Aber auch mail.pipapo.de. Und wie soll
> dann das Zertifikat lauten.

Sieh es mal so: Postfix kann nur ein cert einbinden, um sich selber
auszuweisen. Es kann also nur _eine_ Identität annehmen.

Daran mußt Du Dich halten, wenn Du DNS konfigurierst und Deinen Users
den Server nennst, an den sie sich für TLS SMTP wenden sollen.

Der Server _muss_ ein sich mit einem cert ausweisen, dessen CN z.B.
mail.example.com identisch mit dem hostnamen ist. Ebenso muss der
hostname identisch mit dem DNS MX Eintrag (also A NAME) des servers
sein: mail.example.com.

Andernfalls können die mail clients beim Prüfen des certs keine Deckung
der Parameter feststellen und schlagen Alarm, weil der server entweder
eine falsche Identität vorgaukelt (die böse Variante wäre
Man-in-the-Middle) oder schizophren ist. Letzteres ist mir bei mail
servern nicht oft begegnet ;)

Bei den client bin ich mir jetzt nicht ganz sicher und zu faul 'gerade
mal schnell' einen Postfix mit TLS aufzusetzen: Idealerweise wenden sich
alle clients auch an mail.example.com.

Das ist zwar nicht so schick und Deine Kunden glauben nicht, Du hättest
eigens einen eigenen Server für sie gebaut, aber es ist garantiert
fail-safe. ;)

p at rick

> Zufalls-Zitat
> ----------
> Frauen würden sich leichter damit abfinden, dass ihr Mann später nach
> Hause kommt, wenn sie sich wirklich darauf verlassen könnten, dass er
> nicht früher da ist. [Sidonie-Gabrielle Colette]

Können wir eine Macho/Facho-Kasse aufmachen? :)

-- 
Patrick Koetter <p at state-of-mind.de>
http://postfix.state-of-mind.de/patrick.koetter/