[Postfixbuch-users] Inhalt und Betreff verschlüsseln

Patrick Ben Koetter p at state-of-mind.de
Fr Aug 13 11:45:37 CEST 2004 

* Ralf Ebeling <ralf-ebeling at despammed.com> [040813 11:05]:
> >Das brauchst Du für die hier beschriebene Problemstellung nicht. Es ist
> >nur nötig, wenn der Postfix smtp client TLS nutzen soll, wenn er mails
> >an remote MTAs, die TLS anbieten, nutzen soll. In dem Fall würde ich
> >allerdings ein anderes "smtp_tls_CAfile" file benützen; eines das über
> >alle CA certs der bekannten Certification Authorities verfügt.
> >Anderfalls wirst Du viele logeinträge finden, die Dir erzählen, dass
> >Dein Postfix das Zertifikat der Gegenstelle nicht verifizieren konnte.
> >
> >Als guter Ersatz könnte Dir da das CA cert file vom Apache dienen. Es
> >ist voller gültiger CA certs.
> 
> Macht es hier auch Sinn:
> - das Zertifikat der eigenen (selfsigned) CA mit in ca-bundle.crt aufzu-
>  nehmen?
> - die modifizierte ca-bundle.crt in smtp_tls_CAfile *und* smtpd_tls_CAfile
>  einzutragen?
> 
> Oder reicht für smtpd_tls_CAfile das selfsigned-ca.cert?


Also "schaden" tut es nicht, aber (!) es macht keine Sinn ;)

Warum macht es keinen Sinn das eigene private CA cert in den cert root
store des smtpd daemon hinzuuzufügen?
Es gibt nur ein Szenario in dem Postfix auf sein eigenes, privates
Zertifikat stossen kann - dann wenn Postfix zu sich selber Verbindung
auf nimmt, also smtp (client) in Kontakt mit smtpd (server) tritt.

Dieser Fall tritt aber nur ein, wenn man einen Loop konfiguriert hat. Im
Log steht dann sinngemäß immer sowas wie "server greets me with my own
hostname". Dieser Fall ist eine Fehlkonfiguration und kann also getrost
vernachlässigt werden.

Wichtig für den CA cert store von smtpd_tls_CAfile ist:
Er muß alle CA certs (cert chain) enthalten, die am Prozess des
Signierens beteiligt waren.
Wenn Du Dir also Dein offizielles server cert von einer CA signieren
läßt, die keine top node ist, sondern Glied Nummer drei in einer Kette
von CAs, dann mußt Du alle CA certs der Kette in smtpd_tls_CAfile
verfügbar haben; so kann smtpd dann dem mail client sagen: "Schau mal
her: Das hier ist das cert von der CA, die mein server cert signiert
hat und das sind die CA certs, die das CA cert meiner CA signiert haben.
Ich kann Dir lückenlos beweisen, das Du mir vertrauen kannst."

OK?

p at rick


-- 
Ich behalte mir vor Nachrichten, die nicht an die Liste zurückgesendet
werden, zu ignorieren. Open Source Software verlangt auch offenen Zugang
zu Wissen, das schildert wie man sie einsetzt.
Entzieht den anderen dieses Wissen nicht, indem ihr unaufgefordert auf
einen privaten Kanal wechselt!

SMTP AUTH HOWTO: <http://postfix.state-of-mind.de/patrick.koetter/>

Mehr Informationen über die Mailingliste Postfixbuch-users