Hallo zusammen,
ich versuche gerade zu erzwingen, dass Postfix von den Clients verlangt, dass diese ihre Mails nur über eine TLS-verschlüsselte Leitung einliefern können.
Gefunden habe ich dazu den Befehl: smtpd_tls_security_level = encrypt
Aber verlangt dieser dann nicht auch von einliefernden MTAs ein Zertifikat?
Weil ist ja der gleiche Port. Wie kann ich da zwischen einliefernden MTAs und einliefernden Clients unterscheiden?
Habe Debian Lenny Stable.
Das freiwillige Einliefern mit TLS funktioniert.
Ich möchte es aber gerne erzwingen - aber halt nur für die Clients, damit die Passwörter nicht unverschlüsselt transportiert werden.
(Verschlüsselt Abrufen über Dovecot läuft bereits).
Danke vorab & Gruß,
Colt Seavers
Mails von Clients per TLS einliefern
-
coltseavers
- Posts: 187
- Joined: 2009-11-04 00:43
- Location: NRW
-
Joe User
- Project Manager
- Posts: 11583
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Mails von Clients per TLS einliefern
Die Passwort-Authentifikation hat zunächst nichts mit SSL zu tun, das wird bei Postfix per SASL geregelt. Für verschlüsselte Passworte musst Du bei SASL die Methoden PLAIN und LOGIN deaktivieren und zum Beispiel CRAM-MD5 aktivieren. Das könnte aber Probleme mit manchen Webmailern und kaputten Clients nach sich ziehen.
Alternativ kannst Du in der master.cf den submission-Transport inklusive TLS/SSL aktivieren und die Clients auf Port 587 umstellen, dann sparst Du Dir das Fummeln mit SASL.
Alternativ kannst Du in der master.cf den submission-Transport inklusive TLS/SSL aktivieren und die Clients auf Port 587 umstellen, dann sparst Du Dir das Fummeln mit SASL.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
coltseavers
- Posts: 187
- Joined: 2009-11-04 00:43
- Location: NRW
Re: Mails von Clients per TLS einliefern
Hallo,
vielen Dank für die schnelle Antwort!
Und diese Einstellungen wirken sich dann nicht auf einliefernde MTAs aus?
Die sollen ja weiterhin ohne TLS einliefern können...
Gruß,
Colt
vielen Dank für die schnelle Antwort!
Und diese Einstellungen wirken sich dann nicht auf einliefernde MTAs aus?
Die sollen ja weiterhin ohne TLS einliefern können...
Gruß,
Colt
-
Joe User
- Project Manager
- Posts: 11583
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Mails von Clients per TLS einliefern
MTAs liefern wie immer über Port 25 ein und die Clients per submission-Port 587.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
daemotron
- Administrator
- Posts: 2800
- Joined: 2004-01-21 17:44
Re: Mails von Clients per TLS einliefern
Du warst schon auf der richtigen Spur. Du suchst vermutlich smtpd_tls_auth_only. Für einliefernde MTAs ist das ohne Belang - die authentifizieren sich ja nicht (wobei die meisten MTAs mittlerweile auch STARTTLS für die Kommunikation mit anderen MTAs beherrschen und benutzen). Ein Client-Zertifikat ist übrigens ebenfalls nicht erforderlich, so lange Du das nicht mit smtpd_tls_ask_ccert erzwingst.
Last edited by daemotron on 2010-12-07 21:43, edited 1 time in total.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
-
coltseavers
- Posts: 187
- Joined: 2009-11-04 00:43
- Location: NRW
Re: Mails von Clients per TLS einliefern
Hi Daemotron,
ja genau danach habe ich gesucht - es läuft - vielen Dank!
Aber wo ist der Unterschied zwischen
"smtpd_tls_auth_only = yes" und "smtpd_tls_security_level = yes" ?
ja genau danach habe ich gesucht - es läuft - vielen Dank!
Aber wo ist der Unterschied zwischen
"smtpd_tls_auth_only = yes" und "smtpd_tls_security_level = yes" ?
Last edited by coltseavers on 2010-12-07 21:55, edited 1 time in total.
-
daemotron
- Administrator
- Posts: 2800
- Joined: 2004-01-21 17:44
Re: Mails von Clients per TLS einliefern
Code: Select all
smtpd_tls_security_level = yesgibt es gar nicht. smtpd_tls_security_level kann nur die Werte "none", "may" und "encrypt" annehmen. Ist "encrypt" gesetzt, wird TLS für alle Verbindungen erzwungen, auch für die von einliefernden MTAs, die sich nicht authentifizieren. Diese Option ist daher böse und sollte nicht für öffentlich erreichbare Server verwendet werden.
smtpd_tls_auth_only hingegen bezieht sich nur auf Sessions, in denen der Client versucht, sich zu authentifizieren.
Last edited by daemotron on 2010-12-07 22:23, edited 1 time in total.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
-
coltseavers
- Posts: 187
- Joined: 2009-11-04 00:43
- Location: NRW
Re: Mails von Clients per TLS einliefern
Code: Select all
smtpd_tls_security_level = encryptAber gut, Unterschied ist nun klar geworden.
Vielen Dank für Deine schnelle Hilfe!