smtp_tls_security_level

Klaus Tachtler klaus at tachtler.net
Do Nov 22 05:48:34 CET 2018 

Hallo Frank,

also das kannst Du schon so machen, würde ich aber nicht! - Ist da zu  
sehr "GLOBAL".

Besser wäre, wenn Du das pro "Client" machst, wie z.B.
(Das habe ich mal für mich in meinem DokuWiki dokumentiert):

https://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=smtp&s[]=tls&s[]=security&s[]=level#tls-policies-konfiguration

Wichtig hier:
=============

/etc/postfix/main.cf:
---------------------
smtp_tls_policy_maps = btree:/etc/postfix/smtp_tls_policy_maps


Inhalt könnte dann z.B. sein:

/etc/postfix/smtp_tls_policy_maps:
----------------------------------

irgendwer.de    fingerprint  
match=F9:A2:58:4B:CA:1F:52:68:69:FF:87:73:CF:62:40:40:57:AC:21:B1
nausch.org      dane-only


a.) Überprüfung NUR bei irgendwer.de auf den richtigen FINGERPRINT des  
Zertifikats
b.) Überprüfung NUR bei nausch.or auf dane-only

p.s. Bei dany-only --> smtp_dns_support_level = dnssec <-- NICHT vergessen!

Noch mehr Beispiele unter:

http://www.postfix.org/postconf.5.html#smtp_tls_security_level


Grüße
Klaus.

> Moin!
>
> Hat schon mal jemand smtp_tls_security_level von may auf encrypt,  
> dane oder sogar dane-only eingestellt?
>
> Kann man das machen?
>
> Ich sehe auf unserem ausgehenden Mailgataways fast nur Untrusted TLS  
> connections und ganz wenige Verified.
>
>
> Viele Grüße!
> Frank
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.  
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster


----- Ende der Nachricht von Frank Fiene <ffiene at veka.com> -----




-- 

------------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
------------------------------------------------


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3120 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181122/e129618c/attachment.skr>

Mehr Informationen über die Mailingliste Postfixbuch-users