[postfix-users] TLS von MTA zu MTA
Patrick Ben Koetter
p at sys4.de
So Aug 11 22:40:06 CEST 2013
* Jochen Fahrner <jf at fahrner.name>:
> Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:
> > Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
> >
> > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> >
> > Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_
> > es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange
> > in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die
> > Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs
> > ins chroot zu legen.
>
> Offensichtllich nicht, siehe hier:
>
> http://giantdorks.org/alain/fix-for-postfix-untrusted-certificate-tls-error/
$ zless /usr/share/doc/postfix/TLS_README.gz
..
The $smtp_tls_CAfile contains the CA certificates of one or more trusted CAs.
The file is opened (with root privileges) before Postfix enters the optional
chroot jail and so need not be accessible from inside the chroot jail.
Probier es aus. Wenn es nicht stimmt, dann eröffne einen Bug-Report für LaMont
Jones, den Debian Postfix Maintainer.
p at rick
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users