[Postfixbuch-users] TLS-Übermittlungssicherheit bei Mailservern erzwingen

Patrick Ben Koetter p at sys4.de
Mo Apr 8 09:18:13 CEST 2013 

* Andre <postfixbuch-users at listen.jpberlin.de>:
> habe soeben den Beitrag gelesen
> 
> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/
> 
> Danke an Robert für die Anregung.
> 
> /etc/postfix/main.cf:
> smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
> 
> /etc/postfix/tls_policy:
> example.com       encrypt
> .example.com      encrypt
> 
> Das bedeutet doch, dass ich meine ausgehende Mails verschlüsselt
> übertragen will. Ansonsten bleibt die Mail ungünstigerweise in meiner
> Queue? Ich muss dann also gucken wie ich die Mail los werde? Ungünstig.
> Oder liege ich total daneben?

Jein. Das Sicherheitsziel bei dieser Konfiguration ist "entweder
verschlüsselt oder gar nicht". Die das einsetzen, sind sich der extra Arbeit
des queue-Montorings bewußt, aber das ist es ihnen wert.

Robert hat sein Beispiel, finde ich, gut gewählt. In der Autoindustrie wird
viel Wert auf sicheren Datenaustausch gelegt, weil die Betriebsgeheimnisse
viel wert sind und es leider ausreichend Bösewichte gibt, die diese
Geheimnisse stehlen und zu ihrem Vorteil nutzen wollen.

> Gibt es die Möglichkeit auch eingehende Mails selektiv zu blocken?
> smtpd_tls_policy_maps oder so?

Du könntest zwingend TLS client Zertifikate einfordern, alle erwünschten in
einer Liste führen und die ohne Zertifikat ablehnen.

> Es wäre doch viel interessanter zu sagen, alle einliefernde Server
> dürfen an meine Domain example.com nur verschlüsselt einliefern, oder?

Mal in RFC-speal: DÜRFEN, ja, aber MÜSSEN, nein. Ein öffentlich erreichbarer
SMTP Server darf nicht zwingend TLS einfordern (,weil ein Client, der TLS
nicht oder so nicht kann ihm nicht einmal sagen könnte, dass er kein TLS
kann).

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich

Mehr Informationen über die Mailingliste Postfixbuch-users