[Postfixbuch-users] [solved] Nur Serverzertifikat bei mandatory TLS hinterlegen

Tobias Luithardt tobias.luithardt at r1net.de
Do Jul 28 11:26:26 CEST 2011


>> ist es möglich in
>> http://www.postfix.org/postconf.5.html#smtp_tls_CApath
>> oder
>> http://www.postfix.org/postconf.5.html#smtp_tls_CAfile
>> nur ein Serverzertifkat zu hinterlegen, um nicht der dazugehörigen Root-CA
>> (und ggfs. Sub-CAs) zu vertrauen?

>Nein.
doch, zumindest der Fingerprint kann ab der Version 2.5 hinterlegt werden
http://www.postfix.org/TLS_README.html#client_tls_fprint

>> http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps
>> ist auf secure gestellt.

>Die Frage sollte eventuell eher lauten:

>Ist Dein Setup wirklich so sicherheitskritisch, dass Du:

>a) Angst haben musst, dass die CA des Mailservers, für den Du
>   eine Sonderbehandlung haben möchtest, Zertifikate an illegitime
>  Antragsteller (für den gleichen Common Name) ausstellt,
ja

>b) vielleicht ein VPN zwischen den Mailservern spannen solltest,
ja, das ist eine Alternative

>c) eine eigene CA betreiben solltest (falls Du die betroffenen
>   Mailserver kontrollierst).
nein, betreibe ich nicht




Mehr Informationen über die Mailingliste Postfixbuch-users