Am 2013-08-09 17:31, schrieb Robert Schetterer:
Am 09.08.2013 15:40, schrieb Florian Streibelt:
[..]
Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten
die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten
wollen - und wie bekommt man raus wer kein TLS anbietet und bei wem
von außen die TLS verhandlung unterbunden wird?
[..]
also ich hab jahrelang selbst produzierte ssl crts verwendet, ich hab
zwar nicht gelogged wer die alles akzeptierte, aber ich kann mich
eigentlich nicht daran erinnern dass sie massenhaft abgelehnt wurden,
ich gehe davon aus dass die meisten es pragmatisch handhaben und eben
nach dem Motto verfahren besser ein selbst gemachtes crt und
verschluesseln als gar nicht, einfach ausprobieren und mitloggen
Apropos - ich hab dann grade auch noch mal in mein Log geschaut. Und
dabei hätt' ich mal gerne ne Frage ;-)
Mails raus an bspw. web.de sehen total super aus:
Aug 9 17:46:12 mail2 postfix/smtp[15152]: Trusted TLS connection
established to mx-ha02.web.de[213.165.67.120]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Aber rein steht (auch bei *allen* anderen eingehenden ESMTPS
Serververbindungen):
Aug 9 16:29:27 mail2 postfix/smtpd[29718]: Anonymous TLS connection
established from mout.web.de[212.227.15.3]: TLSv1.2 with cipher
ECDHE-RSA-AES128-SHA (128/128 bits)
Ich beziehe mich hier auf den Unterschied "Trusted TLS connection" zu
"Anonymous TLS connection". Müsste dort nicht irgendwann auch mal
"Trusted" stehen...? Wie gesagt - das steht *nie* da.
Oder fehlt mir was in der Konfiguration bei smtpd_tls_* ?
smtpd_tls_security_level = may
smtpd_tls_CAfile = /etc/postfix/ssl/StartSSL_chain.pem
smtpd_tls_CApath = /etc/ssl/certs/
smtpd_tls_cert_file = /etc/postfix/ssl/cert.crt
smtpd_tls_key_file = /etc/postfix/ssl/cert.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
Das Zertifikat ist von StartSSL - also nicht ganz so "unakzeptiert" wie
ein's von CACert ;)
Ich *glaube* was fehlen würde wäre "smtpd_tls_ask_ccert=yes" - lasse
mich aber von dem Satz:
| Additionally some MTAs (notably some versions of qmail) are unable to
complete
| TLS negotiation when client certificates are requested, and abort the
SMTP session.
| So this option is "off" by default
etwas einschüchtern das auf einem public MX zu aktivieren..
Grüsse
Christian
_______________________________________________
postfix-users mailing list
postfix-users@de.postfix.org
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
