* Jochen Fahrner <j...@fahrner.name>: > Am 11.08.2013 22:04, schrieb Patrick Ben Koetter: > > Sicherer wäre es, wenn Du die Certs folgendermaßen lädst: > > > > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt > > > > Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein > > _bevor_ > > es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur > > solange > > in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die > > Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs > > ins chroot zu legen. > > Offensichtllich nicht, siehe hier: > > http://giantdorks.org/alain/fix-for-postfix-untrusted-certificate-tls-error/
$ zless /usr/share/doc/postfix/TLS_README.gz .. The $smtp_tls_CAfile contains the CA certificates of one or more trusted CAs. The file is opened (with root privileges) before Postfix enters the optional chroot jail and so need not be accessible from inside the chroot jail. Probier es aus. Wenn es nicht stimmt, dann eröffne einen Bug-Report für LaMont Jones, den Debian Postfix Maintainer. p@rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users