[Postfixbuch-users] tls nur für alle netze ausser für mynetworks erzwingen

[Patrick Ben Koetter]

* MK <at-entertainment at gmx.net>:
> >> ist es möglich, tls nur für netze, die nicht zu mynetworks gehören zu 
> >> erzwingen?
> > 
> > Ja.
> > Wenn diese Netze auch öffentlich erreichbare Netze (lies: Internet)
> > beinhalten, dann darfst du das allerdings nicht. Die RFCs sind da ziemlich
> > deutlich, denn ein Client, der z.B. kein TLS kann, könnte Deinem Server nie
> > von seinem Problem berichten.
> > 
> > Sind öffentliche Netze betroffen?
> 
> Hm ja sollten eigendlich.. dann lässt sich nur auf die auth Verfahren 
> ohne Klartext ausweichen oder?  Kann man irgendwie ohne großen Umstand 

smtpd_tls_auth_only = yes

Nur AUTH anbieten, wenn TLS genutzt wird.

Alternativ kannst Du mit den smptd_(tls_)sasl_security_options spielen. Ist im
Buch beschrieben.

> testen, ob das funktioniert, und nicht trotzdem auf PLAIN/LOGIN 
> zurückgegriffen werden kann? Das hat mich bis jetzt irgendwie davon 
> abgeschreckt.. ich bin ja auch gerade noch am forschen ;P 
> smtpd_tls_auth_only wär der Schalter, um es zu erzwingen.  Aber das muss 
> ich wegen rfc-konformität abgeschaltet lassen.  soweit erst mal klar =)

Nein, mußt Du nicht. Es bietet AUTH nur dann an, wenn TLS genutzt wird, aber
läßt jedem client die Wahl ob er TLS machen will oder nicht.


> Dankeschön erst mal, hätte nicht erwartet noch andere Nachtschwärmer 
> anzutreffen :)

Neuer Server, neues mutt. Ich konfiguriere gerade... ;)


> Gruß Markus Kandeler
> 
> PS: Das Buch Postfix hat richtig spass gemacht!

Sehr schön. Freut mich.

p at rick

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>