[Postfixbuch-users] TLS - Anonymous vs. Untrusted

Jan P. Kessler postfix at jpkessler.info
Fr Sep 6 15:02:03 CEST 2013


Am 06.09.2013 11:10, schrieb Timm Schneider:
> Liegt es an diesen Dingen(Auszug aus postconf):
>
> smtpd_use_tls = no

Nu' mal ernsthaft. Klingt der ganzen TLS Sache irgendwie abträglich,
oder? ;-)

> smtpd_tls_req_ccert = no
> smtpd_tls_ask_ccert = no
>
> Was ist heir der unterschied zwischen request und ask? cert

ask => frag nach einem Client-Zertifikat

req => fordere zwingend ein Client-Zertifikat (nicht "request", sondern
"require"). Ansonsten beende die Verbindung.

Aber wie schon mal jemand aus der Doku zitiert hat: Client Zertifikate
sollten nur abgefragt werden, wenn sie wirklich notwendig sind (also
auch wirklich geprüft werden). Wir nutzen das ganze betrieblich (in
einer separaten Instanz auf einem Port != 25, um Relays an
Außenstandorten zu authentisieren). Da haben wir dann auch req_ccert
gesetzt. Wir hatten aber auch schon mal jene (wenn auch sehr seltenen)
Interoperabilitätsprobleme, vor denen in der Doku gewarnt wird.





Mehr Informationen über die Mailingliste Postfixbuch-users