Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert.
Das ist falsch. Postfix im Default verwendet: smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination Diese Konfiguration berücksichtigt überhaupt nicht, welches Zertifikat du verwendest oder nicht. Deshalb ist die Mailannahme erst einmal unabhängig vom Zertifikat oder einer verschlüsselten Verbindung. Im Default ist enthalten, dass Postfix, wenn möglich, eine verschlüsselte Verbindung aufbaut. Wenn die CA nicht in smtpd_recipient_restrictions steht, kommt dies im Log (bei loglevel 1): Sep 26 16:57:30 spamkill postfix/smtp[19636]: setting up TLS connection to cluster9.us.messagelabs.com[216.82.254.227]:25 Sep 26 16:57:31 spamkill postfix/smtp[19636]: certificate verification failed for cluster9.us.messagelabs.com[216.82.254.227]:25: untrusted issuer /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5 Sep 26 16:57:31 spamkill postfix/smtp[19636]: Untrusted TLS connection established to cluster9.us.messagelabs.com[216.82.254.227]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Dann ist es halt eine "Untrusted TLS connection", mehr nicht. Wenn die CA des Zertifikates des einliefernden Clients im smtpd_tls_capath drin ist, kommt lediglich " Trusted TLS connection established ". Das war es. Erst, wenn du mit zusätzlichen Parametern wie permit_tls_clientcerts arbeitest, dann ergibt sich die Möglichkeit eines Relays. Dann hast du deine Finger aber bereits auf der Konfig gehabt, um dies explizit zu ermöglichen! Siehe: http://www.postfix.org/postconf.5.html#permit_tls_clientcerts Sandy -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org