[Postfixbuch-users] Postfix TLS mit CAcert?

Rico Koerner rico at netbreaker.de
Mi Sep 4 16:50:04 CEST 2013 

Am 04.09.2013 14:35, schrieb Werner Flamme:
> Timm Schneider [04.09.2013 14:07]:
>> Hi
>>
>> evtl. lege ich hier einem Irrtum nahe.
>> Da ich derzeit mit meinem Thunderbird signiere und verschlüssel, und
>> hier ein Zertifikat erst verwendet werden kann, wenn die Kette passt,
>> also die rootCA Stelle vom TB als vertrauenswürdig erachtet wird.
>>
>> Ist es von Maiserver zu Mailserver nicht so?
>> Wahrscheinlich ist es so, dass mir der Zielserver sein public Cert
>> sendet mit dem dann meiner verschlüsselt und umgekehrt, sonst wird
>> nichts weiter überprüft.
> 
> Ich glaube, Du vermischt hier das Verschlüsseln der Mail an sich (bzw.
> des Mailinhalts; das geschieht im Mailclient (Thunderbird, z. B. mit
> Enigmail)) und den Transport der Mails zwischen Mailservern - per TLS.
> Das eine hat mit dem anderen nichts zu tun. Eine verschlüsselte Mail
> kann sowohl verschlüsselt als auch unverschlüsselt transportiert werden
> - ihr Inhalt ist trotzdem verschlüsselt.

Ich glaube nicht, daß Timm da etwas vermischt, auch wenn er den MUA mit
dem MTA vergleicht. Es geht hier wohl nicht darum was/wie verschlüsselt
wird, sondern ob die Zertifikate akzeptiert werden und danach überhaupt
verschlüsselt wird, was sich aber in beiden Fällen auf die Verbindung
und nicht auf die Nachricht bezieht.

Um den Vergleich fortzuführen:
Im MUA kann die CA des Serverzertifikats importiert werden, daß er alle
davon signierten Zertifikate akzeptiert. Ob er das von der CA abhängig
macht oder das einzelne Zertifikat akzeptiert, ist ein anderes Problem.
Dem MUA kannst du auch sagen, akzeptiere das Zertifikat, ohne dabei die
CA zu importieren. In dem Falle muß das Folgezertifikat dann aber auch
wieder manuell akzeptiert werden.

Der sendende Mailserver ist hier ebenso ein Client, d.h. er muß das
Zertifikat des empfangenden Mailservers akzeptieren.

Bei smtp_tls steht kein cert/key, welches der Zielserver gegen eine CA
verifizieren kann. CAfile/path ist hier für die Überprüfung der CA des
Zielservers zuständig.

Das Zertifikat wird nur bei smtpd_tls angegeben, also für den
Mailempfang. Wenn du jetzt ein Zertifikat von CAcert einsetzt, ist das
nur also relevant, wenn dir die Gegenseite eine Mail zustellen will.


Gruß
Rico

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 555 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130904/aa673163/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users