[Postfixbuch-users] Nur Serverzertifikat bei mandatory TLS hinterlegen

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Mi Jul 27 22:45:43 CEST 2011


Am 25.07.11 15:06, schrieb Tobias Luithardt:

> ist es möglich in
> http://www.postfix.org/postconf.5.html#smtp_tls_CApath
> oder
> http://www.postfix.org/postconf.5.html#smtp_tls_CAfile
> nur ein Serverzertifkat zu hinterlegen, um nicht der dazugehörigen Root-CA
> (und ggfs. Sub-CAs) zu vertrauen?

Nein.

> http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps
> ist auf secure gestellt.

Die Frage sollte eventuell eher lauten:

Ist Dein Setup wirklich so sicherheitskritisch, dass Du:

a) Angst haben musst, dass die CA des Mailservers, für den Du
   eine Sonderbehandlung haben möchtest, Zertifikate an illegitime
   Antragsteller (für den gleichen Common Name) ausstellt,

b) vielleicht ein VPN zwischen den Mailservern spannen solltest,

c) eine eigene CA betreiben solltest (falls Du die betroffenen
   Mailserver kontrollierst).

Wenn nicht, sollte es wohl kein Problem darstellen der CA des
Zielmailservers zu vetrauen.

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users