Re: [Postfixbuch-users] Inhalt und Betreff verschlüsseln

Carsten Lucke luckec at tool-garage.de
Fr Aug 13 01:45:13 CEST 2004


Hallo,

Patrick Ben Koetter wrote:
>>Hi,
>>
>>ich habe eine kurze Frage.
>>
>>Ich habe Postfix + Cyrus laufen. Ich benutze stunnel für pop3s/imaps und 
>>habe auch die TLS-Sachen entsprechend dem Postfixbuch eingestellt:
>>
>>smtpd_use_tls = yes
>>smtpd_tls_auth_only = no
>>smtpd_tls_key_file = /etc/postfix/kitkat.key.pem
>>smtpd_tls_cert_file = /etc/postfix/kitkat.cert.pem
>>smtpd_tls_CAfile = /etc/postfix/cacert.pem
> 
> 
> OK
> 
> 
>>smtp_use_tls = yes
>>smtp_tls_key_file = /etc/postfix/kitkat.key.pem
>>smtp_tls_cert_file = /etc/postfix/kitkat.cert.pem
>>smtp_tls_CAfile = /etc/postfix/cacert.pem
> Das brauchst Du für die hier beschriebene Problemstellung nicht. Es ist
> nur nötig, wenn der Postfix smtp client TLS nutzen soll, wenn er mails
> an remote MTAs, die TLS anbieten, nutzen soll. In dem Fall würde ich
> allerdings ein anderes "smtp_tls_CAfile" file benützen; eines das über
> alle CA certs der bekannten Certification Authorities verfügt.
> Anderfalls wirst Du viele logeinträge finden, die Dir erzählen, dass
> Dein Postfix das Zertifikat der Gegenstelle nicht verifizieren konnte.
> 
> Als guter Ersatz könnte Dir da das CA cert file vom Apache dienen. Es
> ist voller gültiger CA certs.
Danke für die Info, da hab ich wieder was dazu gelernt.

Ist mir jetzt zwar irgendwie doof, aber jetzt geht es. Ich habe 
MozillaMail (unter Windows) verwendet und das scheint meine 
Einstellungen an den Accounts nur vorzunehmen, wenn ich mich aus Windows 
abmelde. Keiner der Sniffer kann dann bei TLS bzw. SSL irgendwas 
rausfinden. Ich hatte auf dem Server mit linsniff und sniffit und auf 
dem Client mit Ethereal gesnifft. Wie gesagt, keiner findet mehr was.

Das Phänomen, dass das Passwort nicht, der Mailbody aber im Klartext zu 
finden ist, tritt dann auch nicht mehr auf. Die Vermutung mit dem 
SMTP-Auth war korrekt, aber ich habe plaintext Passwörter. SASL 
authentifiziert über rimap bei Cyrus, der wiederum die sasldb (auxprop) 
verwendet.

Du hattest von SMTP-Auth per MD5 geredet. Gibt es irgendwo eine 
Anleitung, wo man verschlüsselte Kennwörter für Cyrus und SMTP benutzen 
kann und weiterhin die sasldb verwendet?

Nochmal danke für die schnelle Hilfe und sorry wegen der unnötigen 
Aufregung. Blöde Aktion ...

N8!
Carsten

> 
> 
>>Mein Versuchsaufbau sieht wie folgt aus:
>>
>>Client: bounty -> 192.168.0.120
>>Server: kitkat -> 192.168.0.252
>>
>>Wenn ich über imaps Mails abhole, dann kann ich zwar das Passwort
>>nicht sniffen, den Inhalt der Mail allerdings schon. Sollte das nicht
>>alles verschlüsselt sein?
> 
> 
> An welcher Stelle sniffst Du denn? Am Anfang? Am Ende? Mittendrin?
> 
> Grundsätzlich gilt: Mit SSL oder stunnel verschlüsselst Du das Transport
> Layer, nicht aber die darin transportierten Inhalte; die sieht halt dann
> keiner, weil ja das Transport Layer verschlüsselt ist. Erst wenn die
> Daten angekommen sind und auf die Platte geschrieben werden, kann man
> wieder ohne Schlüssel auf sie zugreifen. Dann ist es alles wieder
> plaintext.
> 
> Wenn Du jetzt sagt, daß Du das Passwort nicht sniffen kannst, aber den
> Inhalt der Mail, dann macht mich das stutzig, denn eine verschlüsselte
> Verbindung sollte _vor_ dem Übertragen von login aufgebaut werden und
> erst _nach_ Übermittlung aller Daten abgebaut werden.
> 
> 
>>Was auch komisch ist: Wenn ich ohne TLS Mails versende/abhole, dann
>>kann ich das Passwort (SMTP) nicht sniffen, vom IMAP krieg ich das
>>Login aber gesnifft.
> 
> 
> So wie es aussieht, hat Deine Config auch SMTP AUTH dabei, ja? Wenn das
> der Fall ist, kann es durchaus sein, daß Dein Mail client gar kein Pass
> sendet, weil er einen shared-secret mechanismus wie z.B. CRAM-MD5
> benützt; da werden keine Passworte ausgetauscht, sondern nur Daten die
> nachvollziehen lassen, das der Client über das richtige Passwort
> verfügte um die ausgetauschten Daten zu erstellen...
> 
> 
>>Ich hoffe, dass ich dass nicht allzu wirr beschrieben habe.
> 
> 
> Ich hoffe ich habe Dir um die Uhrzeit eine hilfreiche Antwort gegeben ;)
> 
> p at rick
> 



Mehr Informationen über die Mailingliste Postfixbuch-users