Am 26.09.2012 21:06, schrieb Christian:
Am 26.09.2012 17:13, schrieb Sandy Drobic:
Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....
if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o "$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else
und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird.
Wenn das falsch ist, dann mach einen BUG auf.
Ich werde mir das am Wochenende genau anschauen, aber das sieht wirklich nach einem Suseconfig-Bug aus. Dieses Verhalten darf nicht gekoppelt werden. In der Firma habe ich einige Mailserver auf Opensuse-Basis, aber diese werden natürlich schon seit Jahren immer weiter durch die Opensuse-Versionen gepflegt. Die Configfiles sind von Hand bearbeitet und werden von Suseconfig deshalb nicht angerührt. Sandy -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org