[Postfixbuch-users] STARTTLS erzwingen beim senden

[Ralf Hildebrandt]

* Patrick Klaus <patrick.klaus at genion.de>:

> Da wir als sasl-Authorisierung nicht eine SASL-Datenbank benutzen 
> sondern PAM, muss das Password ja im Klartext übertragen werden.
> Deswegen wäre eine Verschlüsselung der SMTP Verbindung schon
> sehr wichtig.

Korrekt.

http://www.aet.tu-cottbus.de/personen/jaenicke/pfixtls/doc/conf.html

Sending AUTH data over anunencrypted channel poses a security risk.
When smtpd_tls_enforce_tls is set, AUTH will only be announced and
accepted, once the TLS layer has been activated via the STARTTLS
protocol. If TLS layer encryption is optional, it may however still be
useful to only offer AUTH, when TLS is active. To not break
compatiblity with unpatched postfix versions, the default is to
accept AUTH without encryption. In order to change this behaviour,
set smtpd_tls_auth_only = yes.

Evtl. ist es sinnvoll, wie auf o.a. Seite den "submission" service
einzurichten und den Kunden den mitzuteilen!

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)   Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450 570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450 570-916
I wonder why no company starts his manual with the words `We thank you
for buying this piece of shit. We have done our best to make this junk
as annoying as possible, and we assure that it will give you a
headache for the next two months. However, if you feel satisfied with
it, we will contact you for an expensive replacement.'