[Postfixbuch-users] TLS - Anonymous vs. Untrusted
Mathias Jeschke
postfixbuch-users at 0xaffe.de
Do Sep 5 21:59:28 CEST 2013
Hallo Timm,
Am 05.09.13 17:40, schrieb Timm Schneider:
> ja das dachte ich mir schon, aber was ich noch nicht verstehe, ist, ein
> Mailserver der TLS verarbeiten kann, benötigt doch ein Zertifikat.
> Warum verwendet er dass dann nicht?
> Oder wird das Zertifikat was ja mein Server jetzt für TLS verwendet
> nicht auch zur Identifikation beim anderen Mailserver verwendet?
Der entscheidende Punkt ist: In welcher Rolle agiert ein "Mailserver"?
Wenn Dein "Mailserver" (also die Maschine auf der Postfix läuft) als
SMTP-Server mit TLS-Support agiert (durch den smtpd-Prozess), benötigt
er sehr wohl ein Zertifikat: das TLS-Server-Zertifikat.
Wenn Dein "Mailserver" als SMTP-Client agiert (smtp-Prozess - ohne "d"!)
um Mail zuzustellen benötigt er für TLS-Verbindungen eben nicht zwingend
ein Zertifikat, sonst bräuchte Dein Webbrowser ja auch immer ein
Client-Zertifikat.
Natürlich könnte Dein SMTP-Client das TLS-Server-Zertifikat des
SMTP-Servers der Maschine als Client-Zertifikat benutzen[*], es dürfte
in den meisten Szenarien aber keinen Vorteil bringen.
[*] Es kann auch sein, dass Dein Zertifikat hinsichtlich der Nutzung
eingeschränkt ist (KeyUsage) - dann geht das natürlich nicht.
Viele Grüße,
Mathias.
Mehr Informationen über die Mailingliste Postfixbuch-users