Mails von Clients per TLS einliefern

User avatar
coltseavers
Posts: 182
Joined: 2009-11-04 00:43
Location: NRW

Mails von Clients per TLS einliefern

Post by coltseavers »

Hallo zusammen,

ich versuche gerade zu erzwingen, dass Postfix von den Clients verlangt, dass diese ihre Mails nur über eine TLS-verschlüsselte Leitung einliefern können.

Gefunden habe ich dazu den Befehl: smtpd_tls_security_level = encrypt
Aber verlangt dieser dann nicht auch von einliefernden MTAs ein Zertifikat?
Weil ist ja der gleiche Port. Wie kann ich da zwischen einliefernden MTAs und einliefernden Clients unterscheiden?

Habe Debian Lenny Stable.

Das freiwillige Einliefern mit TLS funktioniert.
Ich möchte es aber gerne erzwingen - aber halt nur für die Clients, damit die Passwörter nicht unverschlüsselt transportiert werden.
(Verschlüsselt Abrufen über Dovecot läuft bereits).

Danke vorab & Gruß,

Colt Seavers
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mails von Clients per TLS einliefern

Post by Joe User »

Die Passwort-Authentifikation hat zunächst nichts mit SSL zu tun, das wird bei Postfix per SASL geregelt. Für verschlüsselte Passworte musst Du bei SASL die Methoden PLAIN und LOGIN deaktivieren und zum Beispiel CRAM-MD5 aktivieren. Das könnte aber Probleme mit manchen Webmailern und kaputten Clients nach sich ziehen.
Alternativ kannst Du in der master.cf den submission-Transport inklusive TLS/SSL aktivieren und die Clients auf Port 587 umstellen, dann sparst Du Dir das Fummeln mit SASL.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

User avatar
coltseavers
Posts: 182
Joined: 2009-11-04 00:43
Location: NRW

Re: Mails von Clients per TLS einliefern

Post by coltseavers »

Hallo,

vielen Dank für die schnelle Antwort!

Und diese Einstellungen wirken sich dann nicht auf einliefernde MTAs aus?
Die sollen ja weiterhin ohne TLS einliefern können...

Gruß,
Colt
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mails von Clients per TLS einliefern

Post by Joe User »

MTAs liefern wie immer über Port 25 ein und die Clients per submission-Port 587.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Mails von Clients per TLS einliefern

Post by daemotron »

Du warst schon auf der richtigen Spur. Du suchst vermutlich smtpd_tls_auth_only. Für einliefernde MTAs ist das ohne Belang - die authentifizieren sich ja nicht (wobei die meisten MTAs mittlerweile auch STARTTLS für die Kommunikation mit anderen MTAs beherrschen und benutzen). Ein Client-Zertifikat ist übrigens ebenfalls nicht erforderlich, so lange Du das nicht mit smtpd_tls_ask_ccert erzwingst.
Last edited by daemotron on 2010-12-07 21:43, edited 1 time in total.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top

User avatar
coltseavers
Posts: 182
Joined: 2009-11-04 00:43
Location: NRW

Re: Mails von Clients per TLS einliefern

Post by coltseavers »

Hi Daemotron,

ja genau danach habe ich gesucht - es läuft - vielen Dank!

Aber wo ist der Unterschied zwischen
"smtpd_tls_auth_only = yes" und "smtpd_tls_security_level = yes" ?
Last edited by coltseavers on 2010-12-07 21:55, edited 1 time in total.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Mails von Clients per TLS einliefern

Post by daemotron »

Code: Select all

smtpd_tls_security_level = yes

gibt es gar nicht. smtpd_tls_security_level kann nur die Werte "none", "may" und "encrypt" annehmen. Ist "encrypt" gesetzt, wird TLS für alle Verbindungen erzwungen, auch für die von einliefernden MTAs, die sich nicht authentifizieren. Diese Option ist daher böse und sollte nicht für öffentlich erreichbare Server verwendet werden.

smtpd_tls_auth_only hingegen bezieht sich nur auf Sessions, in denen der Client versucht, sich zu authentifizieren.
Last edited by daemotron on 2010-12-07 22:23, edited 1 time in total.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time
Top

User avatar
coltseavers
Posts: 182
Joined: 2009-11-04 00:43
Location: NRW

Re: Mails von Clients per TLS einliefern

Post by coltseavers »

Code: Select all

smtpd_tls_security_level = encrypt
...meinte ich ja.
Aber gut, Unterschied ist nun klar geworden.

Vielen Dank für Deine schnelle Hilfe!
Top