[Postfixbuch-users] TLS - Anonymous vs. Untrusted

Do Sep 5 21:59:28 CEST 2013

Hallo Timm,

Am 05.09.13 17:40, schrieb Timm Schneider:

> ja das dachte ich mir schon, aber was ich noch nicht verstehe, ist, ein
> Mailserver der TLS verarbeiten kann, benötigt doch ein Zertifikat.
> Warum verwendet er dass dann nicht?
> Oder wird das Zertifikat was ja mein Server jetzt für TLS verwendet
> nicht auch zur Identifikation beim anderen Mailserver verwendet?

Der entscheidende Punkt ist: In welcher Rolle agiert ein "Mailserver"?

Wenn Dein "Mailserver" (also die Maschine auf der Postfix läuft) als
SMTP-Server mit TLS-Support agiert (durch den smtpd-Prozess), benötigt
er sehr wohl ein Zertifikat: das TLS-Server-Zertifikat.

Wenn Dein "Mailserver" als SMTP-Client agiert (smtp-Prozess - ohne "d"!)
um Mail zuzustellen benötigt er für TLS-Verbindungen eben nicht zwingend
ein Zertifikat, sonst bräuchte Dein Webbrowser ja auch immer ein
Client-Zertifikat.
Natürlich könnte Dein SMTP-Client das TLS-Server-Zertifikat des
SMTP-Servers der Maschine als Client-Zertifikat benutzen[*], es dürfte
in den meisten Szenarien aber keinen Vorteil bringen.

[*] Es kann auch sein, dass Dein Zertifikat hinsichtlich der Nutzung
    eingeschränkt ist (KeyUsage) - dann geht das natürlich nicht.

Viele Grüße,
Mathias.