[Postfixbuch-users] tls_policy wird durch transport nicht beachtet

[Dennis Guhl]

On Fri, Aug 13, 2010 at 02:46:28PM +0200, Tobias Luithardt wrote:
> >> Hallo zusammen,
> >>
> >> durch einen Test bin ich auf folgendes gestossen.
> >>
> >> Wenn man in einer tls_policy zum Beispiel folgendes einträgt
> >> example.com                        secure ciphers=high
> >> und zusätzlich einen transport hat:
> >> example.com                        :[10.1.1.1]
> >>
> >> dann wird die tls_policy ausser Kraft gesetzt und man müsste
> >> eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und nicht für die Domain):
> >> [10.1.1.1]                         secure ciphers=high
> >>
> >>
> >> Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die
> >> Augen öffnen, warum dies so sein muss/soll/darf....
> 
> >Weil nach dem nächsten Hop gesucht wird:
> >http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps
> 
> Ja, und der ist in meinem Beispiel 10.1.1.1 durch ein transport festgelegt.

Und damit ist ihm die Einstellung für den Domainnamen egal, die wird
durch die Konfiguration für den transport überstimmt. Ebenso wie der
globale smtp_tls_mandatory_chipers mit dem Argument chipers=high
überschrieben wird.

> Warum unterscheidet der Postfix zwischen einem manuellen Transport und des selbstgefunden Hosts
> ueber MX-Aufloesung?
> Dies verstehe ich leider an Hand des Links noch nicht ganz.
> Mir scheint es dort eher um die Vertrauenswürdigkeit der MX Auflösung zu gehen. Bei secure wird diese verneint.

Die Antwort von einem nicht autoritativen Nameserver hat immer eine
begrenzte Vertrauenswürdigkeit -- nicht dass die Antwort eines
autoritativen Nameservers nicht auch verfälscht sein könnte, aber den
fragt man eher selten direkt ab.

> >> Postfix 2.7.0
> >>
> >> Vielen Dank im voraus für Eure Hilfe
> >> Tobi