[Postfixbuch-users] Kundenserver filzen

Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur) dieter.ringen at polizei.niedersachsen.de
Mi Aug 24 09:42:40 CEST 2011 

Hallo.
Serverseitig bei Postfix
smtp_tls_security_level = encrypt
smtpd_tls_security_level = encrypt
=Zwangsverschlüsselung für eingehenden und ausdgehenden Mailverkehr
smtpd_tls_mandatory_ciphers = high
smtp_tls_mandatory_ciphers = high
tls_high_cipherlist =
DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA

Dann hast du Postfix schon umgestellt:

Beim cyrus in der /etc/cyrus.conf einfach den Eintrag
imap 	cmd="imapd"     listen="127.0.0.1:imap" prefork=0
und pop3            cmd="pop3d"     listen="127.0.0.1:pop3" prefork=0
einstellen. Damit sperrst du alle aus, die unverschlüsselt abrufen wollen.

Florian Kaiser schrieb:
>> Sollte man das nicht sowieso nur machen? Oder gibt es heutzutage einen
>> gewichtigen Grund auch SMTP/IMAP ohne SSL für Clients anzubieten?
> 
> Es scheint in der Welt da draußen (zumindest im Shared-Hosting Bereich)
> genügend "Kunden" zu geben, die keine Verschlüsselung wollen "ich hab doch
> eh nichts zu verbergen wat brauch ich den scheiss". Auch scheint es Clients
> zu geben, die mit TLS nicht gut klarkommen. Und dann gibt es noch diese
> ganzen Applikationen auf Scriptebene, die mit TLS nicht klarkommen oder
> mangels eingebauter Unterstützung der Sprache bei gleichzeitiger Unfähigkeit
> des "Programmierers" halt aus welchen Gründen auch immer keine
> TLS-Verbindungen aufbauen können- Und wenn man diese Fälle alle abdecken
> will (muss..), kommt man wohl im Klartext-Passwörter in der Datenbank nicht
> rum.
> 
>> PKI? ..
> Das kommt dann auch noch dazu. 
> 
> Ich hätte auch gerne eine andere Lösung, aber TLS überall (SMTP, IMAP, POP)
> zum Zwang zu machen halte ich in dem angesprochenen Bereich (noch) nicht für
> einen gehbaren Weg. Zur Umstellung hatte ich schon die Idee, wenigstens bei
> IMAP und POP über non-SSL jedesmal eine Hinweis an den Client auszugeben,
> der dann (hoffentlich) in einem Popup für den Benutzer resultiert in dem
> sinngemäß steht "Sie verwenden einen veralteten und unsicheren
> E-Mail-Zugang. Bitte stellen Sie auf veschlüsselte Verbindung um (+ Link zu
> einer FAQ)". Mit Dovecot müsste das wohl technisch möglich sein, mit Postfix
> bei SMTP wüsste ich aktuell nicht wie. Was haltet Ihr von so einer Idee?
> Oder habt ihr bessere Ideen, wie man so eine Umstellung zum TLS-Zwang ohne
> zuviel Verwirrung realiseren kann?
> 
> 
> Grüße
> Florian
> 

-- 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion ( ZPD )
Dezernat 42.5.4 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695697653
mailto:dieter.ringen at polizei.niedersachsen.de

Mehr Informationen über die Mailingliste Postfixbuch-users