[postfix-users] TLS von MTA zu MTA

Christian Bricart christian at bricart.de
Fr Aug 9 18:32:12 CEST 2013 

Am 2013-08-09 17:31, schrieb Robert Schetterer:
> Am 09.08.2013 15:40, schrieb Florian Streibelt:
>> [..]
>> Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten 
>> die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten 
>> wollen - und wie bekommt man raus wer kein TLS anbietet und bei wem 
>> von außen die TLS verhandlung unterbunden wird?
>> [..]
> also ich hab jahrelang selbst produzierte ssl crts verwendet, ich hab
> zwar nicht gelogged wer die alles akzeptierte, aber ich kann mich
> eigentlich nicht daran erinnern dass sie massenhaft abgelehnt wurden,
> ich gehe davon aus dass die meisten es pragmatisch handhaben und eben
> nach dem Motto verfahren besser ein selbst gemachtes crt und
> verschluesseln als gar nicht, einfach ausprobieren und mitloggen

Apropos - ich hab dann grade auch noch mal in mein Log geschaut. Und 
dabei hätt' ich mal gerne ne Frage ;-)

Mails raus an bspw. web.de sehen total super aus:

Aug  9 17:46:12 mail2 postfix/smtp[15152]: Trusted TLS connection 
established to mx-ha02.web.de[213.165.67.120]:25: TLSv1.2 with cipher 
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Aber rein steht (auch bei *allen* anderen eingehenden ESMTPS 
Serververbindungen):

Aug  9 16:29:27 mail2 postfix/smtpd[29718]: Anonymous TLS connection 
established from mout.web.de[212.227.15.3]: TLSv1.2 with cipher 
ECDHE-RSA-AES128-SHA (128/128 bits)

Ich beziehe mich hier auf den Unterschied "Trusted TLS connection" zu 
"Anonymous TLS connection". Müsste dort nicht irgendwann auch mal 
"Trusted" stehen...? Wie gesagt - das steht *nie* da.
Oder fehlt mir was in der Konfiguration bei smtpd_tls_* ?

smtpd_tls_security_level = may
smtpd_tls_CAfile = /etc/postfix/ssl/StartSSL_chain.pem
smtpd_tls_CApath = /etc/ssl/certs/
smtpd_tls_cert_file = /etc/postfix/ssl/cert.crt
smtpd_tls_key_file = /etc/postfix/ssl/cert.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

Das Zertifikat ist von StartSSL - also nicht ganz so "unakzeptiert" wie 
ein's von CACert ;)

Ich *glaube* was fehlen würde wäre "smtpd_tls_ask_ccert=yes" - lasse 
mich aber von dem Satz:
  | Additionally some MTAs (notably some versions of qmail) are unable to 
complete
  | TLS negotiation when client certificates are requested, and abort the 
SMTP session.
  | So this option is "off" by default
etwas einschüchtern das auf einem public MX zu aktivieren..

Grüsse
   Christian

Mehr Informationen über die Mailingliste postfix-users