Am Wed, 26 Sep 2012 10:30:55 +0200 schrieb Christian <chris@computersalat.de>:
Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian <chris@computersalat.de>:
Am 21.06.2012 16:19, schrieb Werner Flamme:
Dr. Jürgen Vollmer [21.06.2012 15:37]: [...] "If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."
Ist das das, worum es hier geht? Also die Zeile
smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)
in die main.cf aufnehmen? damit etablierst du ein open_relay, aber ein sicheres ;) Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. denk einfach mal drüber nach. Jetzt konfiguriert er nur die Verwendung von TLS als Client mit dem
Am 25.09.2012 14:37, schrieb Dieter Klünter: link smtp_tls_CApath = /etc/ssl/certs
Als client noch unkritisch.
später erweitert er die Konfiguration, damit auch der smtpd TLS macht. smtpd_tls_CApath = /etc/ssl/certs
das schafft dann ein OpenRelay, weil du praktisch jeder CA vertraust. Hier sollten aber nur die CA's hin, denen du das erlauben willst. [...]
Diese Aussage stimmt so nicht. Im Verzeichnis /etc/ssl/certs liegen eigentlich nur die Zertifikate der großen Issuer, selbst openCA findest du da nicht. Den CA's dieser Issuer sollte man vertrauen, sonst funktioniert das gesamte X.500 System nicht. Die CA wird ja auch nur benötigt, um das damit das vorgelegte Service- oder Hostzertifikat zu verifizieren, eine andere Funktion hat eine CA nicht. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org