[Postfixbuch-users] postfix und Clientzertifikate

Marco Estrada Martinez marco at marcomartinez.de
So Nov 4 20:07:37 CET 2007


Patrick Ben Koetter schrieb:
> * Marco Estrada Martinez <marco at marcomartinez.de>:
>   
>> Patrick Ben Koetter schrieb:
>>     
>>> * Marco Estrada Martinez <marco at marcomartinez.de>:
>>>  
>>>       
>>>>> Nein, die x509 Zertifikate die Postfix benutzt, sind an Hosts gebunden. 
>>>>> Personen/User etc. sind in diesem Zusammenhang irrelevant. Also: jeder 
>>>>> MTA hat sein Zertifikat. Mit seinem Hostnamen an CN.
>>>>>      
>>>>>           
>>>> mh dass ist natürlich schade. das würde ja bedeuten das ein und die 
>>>> selbe Person zwei Clientzertifikate benötigt (Wenn er zwei PC nutzt). 
>>>> Ich bin aber der Meinung das mit dem ausstellen des Clientzertifikates 
>>>> "Ich" als CA "unterschreibe" das es sich um die Person handelt. Oder?
>>>>    
>>>>         
>>> Die einzige, flächendeckend in den gebräuchlichen MUAs nutzbare Methode, 
>>> um User eindeutig zu identifizieren, ist SMTP Authentifizierung.
>>>       
>> OK das sehe ich ein. Wollte aber die Zertifikate nur nebenbei zur 
>> Authentifizierung nutzen. Wollte sie eigentlich auch dazu nutzen damit 
>> meine User Ihre Mail digital unterschreiben können. In diesem Fall wäre 
>> es aber nicht korrekt wenn es pro Person mehrere Zertifikate gibt. Wenn 
>>     
>
> Also ich will keine lange Debatte um dieses Thema machen. Nur fürs Protokoll:
> Natürlich kann eine Person mehrere Zertifikate besitzen und sie fallweise
> einsetzen. Der Administrationsaufwand ist einfach exponential unsinnig. Von
> Debuggen im Alltag gar nicht zu sprechen.
>
> Wenn Du willst, das Deine Leute ohne viel Aufhebens signieren, dann setze ein
> zentrales Krypto-Gateway ein.
>
>
>   
>> ich dich dann richtig verstehe. Müsste ich meinem postfix das mit den 
>> Zertifikaten abgewöhnen und ihn per smtp_auth gegenüber dem Mailserver 
>> authentifizieren und das clientzertifikat nur als Einrichtung im mta als 
>> digitale Unterschrift. Oder eins für die Kommunikation zwischen mta und 
>>     
>
> Nein. Deiner User schreiben ihre Mail sicherlich nicht in Postfix oder
> Sendmail, sondern sie nutzen Outlook oder Thunnderbird. Dort, in diesen MUA,
> muß die Signierung oder Authentifizierung stattfinden.
>
> Ob das dann auf einem Laptop stattfindet und ob der dann noch zusätzlich ein
> Postfix installiert hat, um die Mails nach TLS-Clientzertifikat-Authentifizierung
> über ein zentrales Gateway zu relayen, ist eine andere Sache.
>
>
>   
>> mailserver (für jeden client eines) und ein zertifikat pro Person zum 
>> digitalen unterschreiben, Oder gibt es andere Vorgehen.
>>     
>
> Von welcher Art Signatur sprichst Du eigentlich? Willst Du, das der Client
> sich mit einem TLS-Zertifikat gegenüber dem Server ausweist und das im Header
> vermerkt wird?
>
> Willst Du den Body der Mail signieren, damit die Urheberschaft vermerkt ist?
>   

Mir wäre wichtig das der User (Person) die Mail signiert um die 
Urheberschaft "nachzuweisen". Also deine zweite Aussage.

THX Marco
> Oder willst Du pro Sender eine eigene DKIM-Signatur im Header der Mail
> vermerken?
>
> p at rick
>
>
>
>
>   
>> THX & Grüße Marco
>>     
>>> Die einzige Methode, um den Zugriff auf bestimmte Envelope-Sender
>>> einzuschränken ist es mit smtpd_sasl_login_maps den SASL Loginnamen and 
>>> einen
>>> Envelope-Sender zu binden.
>>>
>>> TLS Zertifikate sind zwar in wenigen MUAs an eine Person bindbar, aber 
>>> deren
>>> Verbreitung ist in Windows-Landschaften nicht der Regelfall.
>>>
>>> p at rick
>>>
>>>  
>>>       
>> -- 
>> Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem 
>> folgenden Fingerprint:
>>
>> This mail is digitally signed, it is only valid with the following 
>> Fingerprint:
>>
>> MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
>>
>>     
>
>
>
>   
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>>
>> Postfixbuch-users at listi.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>     
>
>   


-- 
Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem folgenden Fingerprint:

This mail is digitally signed, it is only valid with the following Fingerprint:

MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3035 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20071104/b4eb54b7/attachment.bin>


Mehr Informationen über die Mailingliste Postfixbuch-users