[postfix-users] TLS von MTA zu MTA

Patrick Ben Koetter p at sys4.de
So Aug 11 22:04:55 CEST 2013


* Jochen Fahrner <jf at fahrner.name>:
> Am 11.08.2013 20:59, schrieb Jochen Fahrner:
> > Aber es bleibt immer noch bei dem "Untrusted" :-(
> 
> Fehler gefunden. Der Postfix macht einen chroot nach /var/spool/postfix,
> deswegen findet er meine Zertifikate nicht.
> 
> Lösung: cat /etc/ssl/certs/*.pem >
> /var/spool/postfix/etc/ssl/certs/ca-certificates.crt
> 
> und dieses als CA-File eintragen.

Fehler gefunden, aber nicht ideal gelöst (wenn ich das anmerken darf).

Jetzt hast Du die Zertifikate in das chroot hineinkopiert. Da wären sie für
einen Angreifer erreichbar, wenn er denn über Postfix ins chroot käme. Der
Angreifer könnte die Certs manipulieren und Dir damit Schaden zufügen.

Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_
es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange
in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die
Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs
ins chroot zu legen.

> Komischwerweise war die Datei schon vorhanden, mit Datum 30.7.2013.

Ich würde sie rauskicken und die main.cf vorher auf ungewollte Referenzen
prüfen.

> Scheint so als würde irgendein cronjob die gelegentlich erneuern. Fragt
> sich nur welcher, und wie? Nicht dass der meine manuell erzeugte Datei
> wieder zerschiesst.

Vielleicht steht es da:

$ man update-ca-certificates

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users