[Postfixbuch-users] tls_policy_map

Jan P. Kessler postfix at jpkessler.info
Mi Feb 27 23:21:05 CET 2013


Am 27.02.2013 22:43, schrieb Jan P. Kessler:
> Am 27.02.2013 17:16, schrieb Stefan Förster:
>> * "Jan P. Kessler" <postfix at jpkessler.info>:
>>> Am 21.02.2013 08:26, schrieb Andreas Schulze:
>>>> Am 10.02.2013 10:05 schrieb Stefan Förster:
>>>>> Man könnte sich ja eine neue Postfix-Instanz machen, bei der man via
>>>>> smtp_tls_security_level immer verschlüsselt. Und da man transport_maps
>>>>> nicht mit CIDR-Tabellen nutzen kann schreibt man sich in die
>>>>> smtpd_recipient_restrictions des Relays, daß die Mails von intern
>>>>> annimmt, ein check_recipient_mx access mit ner CIDR-Tabelle, die dann
>>>>> mittels FILTER-Result... und so.
>>>> kreativer Ansatz :-)
>>>> aber könnte gehen ...
>>>>
>>> Leider nicht. Die FILTER Aktion wirkt nämlich auf die ganze Mail. D.h.,
>>> dass dann bei Multi-Recipient Mails auch Empfänger auf der TLS-ONLY
>>> Instanz landen, für die auf diesem Weg nicht zugestellt werden kann.
>> Ebene dazwischen ziehen (noch eine!) und da nen relay_transport
>> definieren, der maximale Anzahl von Recipients auf 1 hat ;-)
>>
>>
>> Nein, das ist nicht ernst gemeint
> Du wirst lachen (oder weinen): Ich hatte 'ne schwache Sekunde lang
> darüber nachgedacht ;)

Sorry, zu früh gesendet. Was ich eigentlich ergänzen wollte, ist der
Grund, den Viktor Dukhovni auf der postfix-users dafür nannte, dass der
MX Hostname (oder auch die IP) nicht einfach in die TLS Policy Table
eingetragen werden können: Der unsichere MX Lookup (Spoofing, MITM), der
natürlich auch bei diesem "Workaround" genutzt würde. Nach der reinen
Lehre ist das, was ich erreichen wollte, also prinzipbedingt nicht
möglich. Jdf solange nicht flächendeckend DNSSEC & Co etabliert sind. Na
dann...




Mehr Informationen über die Mailingliste Postfixbuch-users