[Postfixbuch-users] Postfwd Syntax Frage

[Sandy Drobic]

On 14.11.2011 16:59, Dennis Guhl wrote:

>> Hier die (einzig vorhandene) Regel von Postfwd aus meiner Konfig:
>>
>> # Reject for Mandantory Encrypted Domains when connection unencrypted
>> id=ENCRYPT-001
>>          action=REJECT 551 Domain must be encrypted!
>>          sender_domain==example.com
>>          encryption_keysize>=128
>
> Hier ist die Notation schon mal nicht richtig:
>
>    ITEM =>  VALUE                true if ITEM>= VALUE
>
> bildet ein größer gleich ab.
>
> Abgesehen davon, willst Du hier auch eher ein kleiner gleich haben,
> was in postfwd so abgebildet wird:
>
>    ITEM =<  VALUE                true if ITEM<= VALUE

Ja, das habe ich inzwischen auch gesehen. (^-^)

Im Augenblick habe ich mit etwas Testen folgende funktionierende Basis-Konfig:

&&ENCRYPTED-DOMAINS {
         sender=@example\.com$
         sender=@example\.de$
}

id=ENCRYPT-001;
	action=REJECT tls keylength < 128;
	&&ENCRYPTED-DOMAINS ;
	encryption_keysize=<128

>> Diese Regel scheint nicht zu greifen, was kann man dafür setzen?
>
> Eventuell hilft es Dir auch, wenn Du auf das Protokoll oder die
> Chiffren der Verschlüsselung prüfst (siehe
> http://www.postfix.org/SMTPD_POLICY_README.html):
>
>    encryption_protocol=TLSv1/SSLv3
>    encryption_cipher=DHE-RSA-AES256-SHA

Diese werde ich zusätzlich setzen. Da auf unseren Servern jedoch mit 
opportunistischer Verschlüsselung gearbeitet wird, reicht dies allein nicht.

> oder Du schaust Dir an mit welchem Zertifikat die Gegenstelle kommt:
>
>    ccert_subject=solaris9.porcupine.org
>    ccert_issuer=Wietse+20Venema
>    ccert_fingerprint=C2:9D:F4:87:71:73:73:D9:18:E7:C2:F3:C1:DA:6E:04

Das wäre natürlich ein Gewinn an Sicherheit, aber wie ich die Konsorten auf 
der anderen Seite der Gleichung kenne, wechseln die ohne Ankündigung einfach 
die Zertifikate oder Server aus, und dann bricht die Kommunikation zusammen 
und alles schreit wieder mal.

Gruß
Sandy