RootForum Community

Hallo zusammen,

ich versuche gerade zu erzwingen, dass Postfix von den Clients verlangt, dass diese ihre Mails nur über eine TLS-verschlüsselte Leitung einliefern können.

Gefunden habe ich dazu den Befehl: smtpd_tls_security_level = encrypt
Aber verlangt dieser dann nicht auch von einliefernden MTAs ein Zertifikat?
Weil ist ja der gleiche Port. Wie kann ich da zwischen einliefernden MTAs und einliefernden Clients unterscheiden?

Habe Debian Lenny Stable.

Das freiwillige Einliefern mit TLS funktioniert.
Ich möchte es aber gerne erzwingen - aber halt nur für die Clients, damit die Passwörter nicht unverschlüsselt transportiert werden.
(Verschlüsselt Abrufen über Dovecot läuft bereits).

Danke vorab & Gruß,

Colt Seavers

Die Passwort-Authentifikation hat zunächst nichts mit SSL zu tun, das wird bei Postfix per SASL geregelt. Für verschlüsselte Passworte musst Du bei SASL die Methoden PLAIN und LOGIN deaktivieren und zum Beispiel CRAM-MD5 aktivieren. Das könnte aber Probleme mit manchen Webmailern und kaputten Clients nach sich ziehen.
Alternativ kannst Du in der master.cf den submission-Transport inklusive TLS/SSL aktivieren und die Clients auf Port 587 umstellen, dann sparst Du Dir das Fummeln mit SASL.

Hallo,

vielen Dank für die schnelle Antwort!

Und diese Einstellungen wirken sich dann nicht auf einliefernde MTAs aus?
Die sollen ja weiterhin ohne TLS einliefern können...

Gruß,
Colt

MTAs liefern wie immer über Port 25 ein und die Clients per submission-Port 587.

Du warst schon auf der richtigen Spur. Du suchst vermutlich smtpd_tls_auth_only. Für einliefernde MTAs ist das ohne Belang - die authentifizieren sich ja nicht (wobei die meisten MTAs mittlerweile auch STARTTLS für die Kommunikation mit anderen MTAs beherrschen und benutzen). Ein Client-Zertifikat ist übrigens ebenfalls nicht erforderlich, so lange Du das nicht mit smtpd_tls_ask_ccert erzwingst.

Hi Daemotron,

ja genau danach habe ich gesucht - es läuft - vielen Dank!

Aber wo ist der Unterschied zwischen
"smtpd_tls_auth_only = yes" und "smtpd_tls_security_level = yes" ?

gibt es gar nicht. smtpd_tls_security_level kann nur die Werte "none", "may" und "encrypt" annehmen. Ist "encrypt" gesetzt, wird TLS für alle Verbindungen erzwungen, auch für die von einliefernden MTAs, die sich nicht authentifizieren. Diese Option ist daher böse und sollte nicht für öffentlich erreichbare Server verwendet werden.

smtpd_tls_auth_only hingegen bezieht sich nur auf Sessions, in denen der Client versucht, sich zu authentifizieren.

...meinte ich ja.
Aber gut, Unterschied ist nun klar geworden.

Vielen Dank für Deine schnelle Hilfe!