[Postfixbuch-users] smtpd_sasl_auth_enable vs. permit_tls_all_clientcerts

Christian Felsing hostmaster at taunusstein.net
So Jul 19 10:31:56 CEST 2009


Hallo Klaus,

ja und nein, das hat beides zwar mit SMTP/TLS zu tun, aber die Meldung
"Trusted TLS connection established" besagt, dass der Client ein
gültiges Client Zertifikat präsentiert hat, dass von der unter
smtpd_tls_CAfile definierten CA signiert wurde. Wird kein Client
Zertifikat benutzt, aber dennoch SMTP/TLS benutzt, dann kommt eben diese
Meldung nicht. Weiterhin weigert sich Postfix dann auch als Relay zu
arbeiten, was auch so gewollt ist.
Grundsätzlich funktioniert das ja auch so, nur die Mischung mit
sasl_auth geht offenbar nicht. Weiterhin habe ich noch nicht
herausgefunden, wie Postfix widerrufene Clientzertifikate erkennen kann.
 Dazu müsste Postfix noch irgendwie CSRs importieren können,
optimalerweise über LDAP oder einfach CSR Files.
Das Buch befasst sich mit diesem Thema übrigens (leider nur sehr kurz)
ab Seite 318 und nich auf Seite 592.

Grüße
Christian

Klaus Tachtler schrieb:
> Evtl. irre ich mich, aber "Trusted TLS connection established" besagt
> doch, dass die Verbindung von MTA zu MTA verschlüsselt wird und erst
> einmal noch nichts mit der Authentifizierung zu tun hat...
> 
> (Buch ab Seite 592 ...) :-)
> 
> Grüße
> Klaus.




Mehr Informationen über die Mailingliste Postfixbuch-users