[Postfixbuch-users] postfix und Clientzertifikate

Patrick Ben Koetter p at state-of-mind.de
Mo Nov 5 20:46:43 CET 2007


* Marco Estrada Martinez <marco at marcomartinez.de>:
> Patrick Ben Koetter schrieb:
> >* Marco Estrada Martinez <marco at marcomartinez.de>:
> >  
> >>>Nein. Deiner User schreiben ihre Mail sicherlich nicht in Postfix oder
> >>>Sendmail, sondern sie nutzen Outlook oder Thunnderbird. Dort, in diesen
> >>>MUA, muß die Signierung oder Authentifizierung stattfinden.
> >>>
> >>>Ob das dann auf einem Laptop stattfindet und ob der dann noch zusätzlich
> >>>ein Postfix installiert hat, um die Mails nach
> >>>TLS-Clientzertifikat-Authentifizierung über ein zentrales Gateway zu
> >>>relayen, ist eine andere Sache.
> >>>
> >>>
> >>>      
> >>>>mailserver (für jeden client eines) und ein zertifikat pro Person zum 
> >>>>digitalen unterschreiben, Oder gibt es andere Vorgehen.
> >>>>   
> >>>>        
> >>>Von welcher Art Signatur sprichst Du eigentlich? Willst Du, das der 
> >>>Client
> >>>sich mit einem TLS-Zertifikat gegenüber dem Server ausweist und das im
> >>>Header vermerkt wird?
> >>>
> >>>Willst Du den Body der Mail signieren, damit die Urheberschaft vermerkt 
> >>>ist?
> >>> 
> >>>      
> >>Mir wäre wichtig das der User (Person) die Mail signiert um die 
> >>Urheberschaft "nachzuweisen". Also deine zweite Aussage.
> >>    
> >
> >Das ist eine Aufgabe, die entweder von der Person im MUA wahrgenommen wird
> >(S/MIME, PGP, GnuPG) oder zentral im Krypto-Gateway. Produkte für
> >Krypto-Gateways musst Du ggf. selber recherchieren.
> >
> >Wenn Du im MUA signieren willst, hängt es vom Produkt ab welche
> >Signatur-Methode Du nutzen kannst. Zusätzlich bringt z.B. S/MIME 
> >üblicherweise
> >noch Kosten für Signierung der Zertifikate durch eine kommerzielle PKI mit
> >sich.
> >
> >Welche Mailclients mußt Du denn versorgen?
> >  
> 
> Hi, Eigentlich nur Thunderbird, OK könnte sein das sich darunter noch 
> ein Outlook befindet (zwar schwer vorstellbar ;o))

Sieh Dir das Thunderbird-Projekt "Enigmail OpenPGP"
<http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP> mal an. Ich denke, es
hat alles was Du an Software brauchst.

Für den gesamten Prozess mußt Du auch den Key-Rollout und die Publikation der
Keys mit einberechnen.

Außerdem, das solltest Du vor allem prüfen, solltest Du herausfinden, ob die
Empfänger der Mails signierte Mails lesen können. Ein Outlook 2003 zeigt z.B.
eine signierte Mail ohne Zusatzausrüstung nur als Attachment an und kann es
nicht öffnen...

p at rick





> 
> THX Marco
> >p at rick
> >
> >
> >  
> >>THX Marco
> >>    
> >>>Oder willst Du pro Sender eine eigene DKIM-Signatur im Header der Mail
> >>>vermerken?
> >>>
> >>>p at rick
> >>>
> >>>
> >>>
> >>>
> >>> 
> >>>      
> >>>>THX & Grüße Marco
> >>>>   
> >>>>        
> >>>>>Die einzige Methode, um den Zugriff auf bestimmte Envelope-Sender
> >>>>>einzuschränken ist es mit smtpd_sasl_login_maps den SASL Loginnamen 
> >>>>>and einen
> >>>>>Envelope-Sender zu binden.
> >>>>>
> >>>>>TLS Zertifikate sind zwar in wenigen MUAs an eine Person bindbar, aber 
> >>>>>deren
> >>>>>Verbreitung ist in Windows-Landschaften nicht der Regelfall.
> >>>>>
> >>>>>p at rick
> >>>>>
> >>>>>
> >>>>>     
> >>>>>          
> >>>>-- 
> >>>>Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem 
> >>>>folgenden Fingerprint:
> >>>>
> >>>>This mail is digitally signed, it is only valid with the following 
> >>>>Fingerprint:
> >>>>
> >>>>MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
> >>>>
> >>>>   
> >>>>        
> >>>
> >>> 
> >>>      
> >>>>-- 
> >>>>_______________________________________________
> >>>>Postfixbuch-users -- http://www.postfixbuch.de
> >>>>Heinlein Professional Linux Support GmbH
> >>>>
> >>>>Postfixbuch-users at listi.jpberlin.de
> >>>>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>>>   
> >>>>        
> >>> 
> >>>      
> >>-- 
> >>Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem 
> >>folgenden Fingerprint:
> >>
> >>This mail is digitally signed, it is only valid with the following 
> >>Fingerprint:
> >>
> >>MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
> >>
> >>    
> >
> >
> >
> >  
> >>-- 
> >>_______________________________________________
> >>Postfixbuch-users -- http://www.postfixbuch.de
> >>Heinlein Professional Linux Support GmbH
> >>
> >>Postfixbuch-users at listi.jpberlin.de
> >>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>    
> >
> >  
> 
> 
> -- 
> Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem 
> folgenden Fingerprint:
> 
> This mail is digitally signed, it is only valid with the following 
> Fingerprint:
> 
> MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
> 



> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users