[Postfixbuch-users] Relay-Server benutzen (OT)

[Alexander Dalloz]

> Hab ich das richtig verstanden, mit Client-TLS-Zertifikaten kann ich
> also auch eine Art von Authent. durchführen? Könnte ich dann auf SASL
> verzichten und den SMTPD nur nach dem richtigen Zertifikat des Clients
> fragen lassen? Wie wäre dafür dann die Option in den
> "smtpd_recipient_restrictions"? Und die Reihenfolge ist so richtig?
>
> smtpd_recipient_restrictions = permit_mynetworks
>                                 permit_tls_clientcerts
>                                 permit_sasl_authenticated
>
> Das würde ja noch mal interessant sein...
> Vielleicht sogar die beste Lösung, oder spricht was dagegen und eher für
> SASL-Auth?
>
> Gruss,
> Stefan

Ja, Du kannst anstelle SASL basiertem AUTH auf Basis eines dem Server
bekannten Clientzertifikates das Relaying erlauben. Auf SASL könntest Du
dann verzichten.

Richtig, in smtp_recipient_restrictions permit_tls_clientcerts setzen. Die
angeratene Position hängt von der kompletten Liste an eingesetzten
Restriktionen ab. Wenn Du auf SASL AUTH komplett verzichten kannst /
willst, dann setze permit_tls_clientcerts and die Stelle von
permit_sasl_authenticated.

Eine PKI zu verwalten ist denke ich aufwendiger als Passwörter zu
vergeben. Geht es nur um Dein 2 Server Szenario, ist der Aufwand
überschaubar. Du musst dann war keine CRL führen, aber Zertifikate laufen
ab.

SASL ist "normal", zertifikatsbasiertes Relaying mag "sexy" sein. Ich kann
nicht beurteilen, welche Kriterien für Dich von Bedeutung sind.

Gruß

Alexander