Public Mailserver mit Self-Signed-Zertifikat
Stefanie Leisestreichler
stefanie.leisestreichler at peter-speer.de
Mi Jan 23 20:31:57 CET 2019
Am 23.01.19 um 15:42 schrieb Walter H.:
> On 21.01.2019 18:19, Stefanie Leisestreichler wrote:
>> Hallo.
>> Ich möchte gerne die Kommunkation zwischen meinem Mailserver und
>> anderen Mailservern, die Mails bei diesem einliefern, per TLS
>> verschlüsseln.
>>
>> Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende?
>> Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert
>> wird und das Einkippen von Mails nicht daran scheitert, dass dieses
>> nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit
>> irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
>>
>> Vielen lieben Dank,
>> Stefanie
> das ist keine gute Idee ...
>
> genau wie Du beim Browser einen Aufschrei machst, wenn was mit den
> Serverzertifikaten nicht passt,
> kann auch ein Mailserver den Aufbau der Verbindung verweigern ...
>
Aha...
Schleichte Nachrichten, fürchte ich. Ich werde mein Vorhaben daher
einmal konkretisieren:
Soweit ich das verstanden habe, geht es hierbei um 2 Dinge, die ich
hoffentlich richtig auseinander halte.
1) Der Versand von Server zu Server, also wenn bspw. mx.example.com mir
eine Mail an meinen MX zustellen will.
2) Wenn einer meiner User sich bei meinem MX authentifizieren möchte,
weil er bspw. mit seinem Mailclient dessen smtpd benutzen möchte.
Punkt 1 kann ich nicht beeinflussen, dort muss ich sicherstellen, dass
ich die Voraussetzungen herstelle, dass jeder andere Server in der Lage
ist ohne weiteres mit meinem MX zu kommunizieren. Es darf nicht
passieren, dass der Mailversand von irgendwoher an einer technischen
Unzulänglichkeit scheitert.
Mit Punkt 2 hätte ich keine Probleme, wenn Du dort das Problem siehst.
Meine User könnte ich anweisen 1x das Zertifikat zu akzeptieren und
dieses dann zukünftig zu verwenden.
Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX zu
Absicherung der Kommunikation mein Zertifikat importieren muss, dann ist
das ein Showstopper, weil dies sicherlich keiner tun wird.
Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich gesagt
war es dann genau das, was ich nicht hören wollte :-(
LG
Stefanie
Mehr Informationen über die Mailingliste postfix-users