[Postfixbuch-users] postfix und Clientzertifikate

[Patrick Ben Koetter]

* Marco Estrada Martinez <marco at marcomartinez.de>:
> Patrick Ben Koetter schrieb:
> >* Marco Estrada Martinez <marco at marcomartinez.de>:
> >  
> >>>Nein, die x509 Zertifikate die Postfix benutzt, sind an Hosts gebunden. 
> >>>Personen/User etc. sind in diesem Zusammenhang irrelevant. Also: jeder 
> >>>MTA hat sein Zertifikat. Mit seinem Hostnamen an CN.
> >>>      
> >>mh dass ist natürlich schade. das würde ja bedeuten das ein und die 
> >>selbe Person zwei Clientzertifikate benötigt (Wenn er zwei PC nutzt). 
> >>Ich bin aber der Meinung das mit dem ausstellen des Clientzertifikates 
> >>"Ich" als CA "unterschreibe" das es sich um die Person handelt. Oder?
> >>    
> >
> >Die einzige, flächendeckend in den gebräuchlichen MUAs nutzbare Methode, 
> >um User eindeutig zu identifizieren, ist SMTP Authentifizierung.
> 
> OK das sehe ich ein. Wollte aber die Zertifikate nur nebenbei zur 
> Authentifizierung nutzen. Wollte sie eigentlich auch dazu nutzen damit 
> meine User Ihre Mail digital unterschreiben können. In diesem Fall wäre 
> es aber nicht korrekt wenn es pro Person mehrere Zertifikate gibt. Wenn 

Also ich will keine lange Debatte um dieses Thema machen. Nur fürs Protokoll:
Natürlich kann eine Person mehrere Zertifikate besitzen und sie fallweise
einsetzen. Der Administrationsaufwand ist einfach exponential unsinnig. Von
Debuggen im Alltag gar nicht zu sprechen.

Wenn Du willst, das Deine Leute ohne viel Aufhebens signieren, dann setze ein
zentrales Krypto-Gateway ein.


> ich dich dann richtig verstehe. Müsste ich meinem postfix das mit den 
> Zertifikaten abgewöhnen und ihn per smtp_auth gegenüber dem Mailserver 
> authentifizieren und das clientzertifikat nur als Einrichtung im mta als 
> digitale Unterschrift. Oder eins für die Kommunikation zwischen mta und 

Nein. Deiner User schreiben ihre Mail sicherlich nicht in Postfix oder
Sendmail, sondern sie nutzen Outlook oder Thunnderbird. Dort, in diesen MUA,
muß die Signierung oder Authentifizierung stattfinden.

Ob das dann auf einem Laptop stattfindet und ob der dann noch zusätzlich ein
Postfix installiert hat, um die Mails nach TLS-Clientzertifikat-Authentifizierung
über ein zentrales Gateway zu relayen, ist eine andere Sache.


> mailserver (für jeden client eines) und ein zertifikat pro Person zum 
> digitalen unterschreiben, Oder gibt es andere Vorgehen.

Von welcher Art Signatur sprichst Du eigentlich? Willst Du, das der Client
sich mit einem TLS-Zertifikat gegenüber dem Server ausweist und das im Header
vermerkt wird?

Willst Du den Body der Mail signieren, damit die Urheberschaft vermerkt ist?

Oder willst Du pro Sender eine eigene DKIM-Signatur im Header der Mail
vermerken?

p at rick




> 
> THX & Grüße Marco
> >Die einzige Methode, um den Zugriff auf bestimmte Envelope-Sender
> >einzuschränken ist es mit smtpd_sasl_login_maps den SASL Loginnamen and 
> >einen
> >Envelope-Sender zu binden.
> >
> >TLS Zertifikate sind zwar in wenigen MUAs an eine Person bindbar, aber 
> >deren
> >Verbreitung ist in Windows-Landschaften nicht der Regelfall.
> >
> >p at rick
> >
> >  
> 
> 
> -- 
> Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem 
> folgenden Fingerprint:
> 
> This mail is digitally signed, it is only valid with the following 
> Fingerprint:
> 
> MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
> 



> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>