[postfix-users] TLS von MTA zu MTA

Jochen Fahrner jf at fahrner.name
So Aug 11 22:08:58 CEST 2013


Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:
> Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
> 
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> 
> Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_
> es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange
> in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die
> Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs
> ins chroot zu legen.

Offensichtllich nicht, siehe hier:

http://giantdorks.org/alain/fix-for-postfix-untrusted-certificate-tls-error/


-- 
Mit besten Grüßen
Jochen Fahrner


Mehr Informationen über die Mailingliste postfix-users