[Postfixbuch-users] postfix und Clientzertifikate
Patrick Ben Koetter
p at state-of-mind.de
So Nov 4 22:05:01 CET 2007
* Marco Estrada Martinez <marco at marcomartinez.de>:
> >Nein. Deiner User schreiben ihre Mail sicherlich nicht in Postfix oder
> >Sendmail, sondern sie nutzen Outlook oder Thunnderbird. Dort, in diesen
> >MUA, muß die Signierung oder Authentifizierung stattfinden.
> >
> >Ob das dann auf einem Laptop stattfindet und ob der dann noch zusätzlich
> >ein Postfix installiert hat, um die Mails nach
> >TLS-Clientzertifikat-Authentifizierung über ein zentrales Gateway zu
> >relayen, ist eine andere Sache.
> >
> >
> >>mailserver (für jeden client eines) und ein zertifikat pro Person zum
> >>digitalen unterschreiben, Oder gibt es andere Vorgehen.
> >>
> >
> >Von welcher Art Signatur sprichst Du eigentlich? Willst Du, das der Client
> >sich mit einem TLS-Zertifikat gegenüber dem Server ausweist und das im
> >Header vermerkt wird?
> >
> >Willst Du den Body der Mail signieren, damit die Urheberschaft vermerkt
> >ist?
> >
>
> Mir wäre wichtig das der User (Person) die Mail signiert um die
> Urheberschaft "nachzuweisen". Also deine zweite Aussage.
Das ist eine Aufgabe, die entweder von der Person im MUA wahrgenommen wird
(S/MIME, PGP, GnuPG) oder zentral im Krypto-Gateway. Produkte für
Krypto-Gateways musst Du ggf. selber recherchieren.
Wenn Du im MUA signieren willst, hängt es vom Produkt ab welche
Signatur-Methode Du nutzen kannst. Zusätzlich bringt z.B. S/MIME üblicherweise
noch Kosten für Signierung der Zertifikate durch eine kommerzielle PKI mit
sich.
Welche Mailclients mußt Du denn versorgen?
p at rick
> THX Marco
> >Oder willst Du pro Sender eine eigene DKIM-Signatur im Header der Mail
> >vermerken?
> >
> >p at rick
> >
> >
> >
> >
> >
> >>THX & Grüße Marco
> >>
> >>>Die einzige Methode, um den Zugriff auf bestimmte Envelope-Sender
> >>>einzuschränken ist es mit smtpd_sasl_login_maps den SASL Loginnamen and
> >>>einen
> >>>Envelope-Sender zu binden.
> >>>
> >>>TLS Zertifikate sind zwar in wenigen MUAs an eine Person bindbar, aber
> >>>deren
> >>>Verbreitung ist in Windows-Landschaften nicht der Regelfall.
> >>>
> >>>p at rick
> >>>
> >>>
> >>>
> >>--
> >>Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem
> >>folgenden Fingerprint:
> >>
> >>This mail is digitally signed, it is only valid with the following
> >>Fingerprint:
> >>
> >>MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
> >>
> >>
> >
> >
> >
> >
> >>--
> >>_______________________________________________
> >>Postfixbuch-users -- http://www.postfixbuch.de
> >>Heinlein Professional Linux Support GmbH
> >>
> >>Postfixbuch-users at listi.jpberlin.de
> >>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>
> >
> >
>
>
> --
> Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem
> folgenden Fingerprint:
>
> This mail is digitally signed, it is only valid with the following
> Fingerprint:
>
> MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users