[Postfixbuch-users] smtpd_tls_req_cert wird ignoriert

Patrick Ben Koetter p at state-of-mind.de
Di Nov 8 12:42:32 CET 2005


* Jan P. Kessler <postfix at jpkessler.info>:
> Hallo zusammen,
> 
> ich versuche derzeit Regeln auf Basis von TLS Clientzertifikaten zu 
> erstellen. Testweise sollen Mails, die mittels eines bestimmten 
> Client-Zertifikates übermittelt werden, abgelehnt werden. Dazu habe ich 
> folgende Konfiguration eingetragen:
> 
> main.cf:
> ---------
> smtpd_use_tls = yes
> smtpd_enforce_tls = no
> smtpd_tls_note_starttls_offer = yes
> smtpd_tls_received_header = yes
> smtpd_tls_ask_cert = yes
> smtpd_tls_req_cert = yes
> smtpd_tls_key_file = /etc/postfix/CERTS/key.pem
> smtpd_tls_cert_file = /etc/postfix/CERTS/cert.pem
> smtpd_tls_CAfile = /etc/postfix/CERTS/CAcert.pem
> smtpd_tls_session_cache_database = btree:/etc/postfix/smtpd_scache
> smtpd_tls_session_cache_timeout  = 3600s
> smtpd_sender_restrictions = permit_mynetworks,
>                                             check_ccert_access 
> btree:/etc/postfix/tls_ccerts,
>                                             ...
> 
> /etc/postfix/tls_ccerts:
> -----------------------
> 1B:2E:2C:A1:30:1D:C4:E9:EF:A6:CC:CF:01:B2:80:D5                                
> REJECT
> 27:60:7B:2A:67:22:D2:CF:E1:66:A8:FD:3D:29:C9:15:61:80:AA:D2             
> REJECT
> 
> Leider funktioniert das ganze nicht. Die Mail läuft durch, und im Header 
> finden sich folgende Zeile:
> 
> Received: ... (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) 
> (No client certificate requested) by ...
> 
> Wo liegt mein Denkfehler?

Schreibfehler, nicht Denkfehler... ;)

$ /usr/sbin/postconf smtpd_tls_req_cert
/usr/sbin/postconf: warning: smtpd_tls_req_cert: unknown parameter

$ /usr/sbin/postconf smtpd_tls_req_ccert
smtpd_tls_req_ccert = yes

ccert = client certificate ;)


-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users