[Postfixbuch-users] TLS - Anonymous vs. Untrusted

Andreas Schulze andreas.schulze at datev.de
Fr Sep 6 10:26:07 CEST 2013


Am 06.09.2013 09:54 schrieb Timm Schneider:
> steht auf 1, aber wenn mein Mailserver eine Mail an jemanden verschickt,
> sehe ich doch nicht, ob der mir vertraut, bzw. ob der hier ein Anonymous
> TLS bekommt?
Das kannst du ja auch nicht beeinflußen.
Wenn Du jemandem was schickst, kontaktierst Du dessen MX Server.
Dieser wird meistens kein Client-Zertifikat anfordern. Dass muss der Server nämlich explizit tun
Bei Postfix aktiviert man das mittels smtpd_tls_ask_ccert = yes
Genau das soll man aber am MX nicht tun:

http://www.postfix.org/TLS_README.html
"Note, that unless client certificates are used to allow greater access to TLS authenticated clients, it is best to not ask for client certificates at all, as in addition to increased overhead some clients (notably in some cases qmail) are unable to complete the TLS handshake when client certificates are requested."

Du kannst aber auf Deiner Client-Seite eine Liste mit CAs hinterlegen und dich dann erfreuen,
wenn Dein SMTP-Client zu einem externen Server rennt, da ein Serverzertifikat präsentiert bekommt und das
gegen deine Liste der vertrauenswürdigens CAs validieren kann.
Dann steht in Deinem Log wenigstens drin "Nachricht vai trusterds SMTP Session zu ...i übertragen"

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



Mehr Informationen über die Mailingliste Postfixbuch-users