[Postfixbuch-users] Relay-Server benutzen (OT)

Patrick Ben Koetter p at state-of-mind.de
Do Aug 5 13:20:03 CEST 2010


* Alexander Dalloz <postfixbuch-users at listen.jpberlin.de>:
> 
> > Hab ich das richtig verstanden, mit Client-TLS-Zertifikaten kann ich
> > also auch eine Art von Authent. durchführen? Könnte ich dann auf SASL
> > verzichten und den SMTPD nur nach dem richtigen Zertifikat des Clients
> > fragen lassen? Wie wäre dafür dann die Option in den
> > "smtpd_recipient_restrictions"? Und die Reihenfolge ist so richtig?
> >
> > smtpd_recipient_restrictions = permit_mynetworks
> >                                 permit_tls_clientcerts
> >                                 permit_sasl_authenticated
> >
> > Das würde ja noch mal interessant sein...
> > Vielleicht sogar die beste Lösung, oder spricht was dagegen und eher für
> > SASL-Auth?
> >
> > Gruss,
> > Stefan
> 
> Ja, Du kannst anstelle SASL basiertem AUTH auf Basis eines dem Server
> bekannten Clientzertifikates das Relaying erlauben. Auf SASL könntest Du
> dann verzichten.
> 
> Richtig, in smtp_recipient_restrictions permit_tls_clientcerts setzen. Die

Oder "check_ccert_access driver:/path/to/table". Das wäre etwas
postfixischer...

> angeratene Position hängt von der kompletten Liste an eingesetzten
> Restriktionen ab. Wenn Du auf SASL AUTH komplett verzichten kannst /
> willst, dann setze permit_tls_clientcerts and die Stelle von
> permit_sasl_authenticated.
> 
> Eine PKI zu verwalten ist denke ich aufwendiger als Passwörter zu
> vergeben. Geht es nur um Dein 2 Server Szenario, ist der Aufwand

Mit TinyCA2 ist das auch schnell gemacht.

> überschaubar. Du musst dann war keine CRL führen, aber Zertifikate laufen
> ab.

Dafür gibt es auch tools. Die Lesen die certs aus und sagen Dir wann Du sie
aktualisieren musst.

Vorteil von TLS AUTH: Du hast Authentifizierung und sichere Datenübermittlung
in Einem.


-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15	   Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



Mehr Informationen über die Mailingliste Postfixbuch-users