Am 26.09.2012 17:13, schrieb Sandy Drobic:
Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....
if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o "$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird. Wenn das falsch ist, dann mach einen BUG auf. -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org