[postfix-users] TLS von MTA zu MTA

Patrick Ben Koetter p at sys4.de
Mo Aug 12 08:12:40 CEST 2013 

* Jochen Fahrner <jf at fahrner.name>:
> Am 11.08.2013 22:40, schrieb Patrick Ben Koetter:
> > 
> > The $smtp_tls_CAfile contains the CA certificates of one or more trusted CAs.
> > The file is opened (with root privileges) before Postfix enters the optional
> > chroot jail and so need not be accessible from inside the chroot jail.
> > 
> > Probier es aus. Wenn es nicht stimmt, dann eröffne einen Bug-Report für LaMont
> > Jones, den Debian Postfix Maintainer.
> 
> Hast Recht, er nimmt die Datei aus /etc/ssl/certs. Dann war mein Problem
> davor dass ich es mit CApath statt CAfile probiert hatte. Ich war

Ja, genau. Ich vermute, das der Autor des Blog-Eintrags auf den Du verwiesen
hattest, dasselbe Problem hat/hatte.

> eigentlich der Meinung dass er mit CApath die ganzen Einzel-PEM-Dateien
> aus dem Verzeichnis nimmt. Dem ist aber wohl nicht so. Mann ist das
> kompliziert! :-(

openssl geht davon aus, dass der Inhalt im Verzeichnis sich ändern kann und
will deshalb live, über einen vorab gebildeten hash, nach certs suchen. Wenn
Du alles in ein file packst, dann liest openssl das einmal ein. Änderungen im
File übernimmt Postfix wenn der betroffene Prozess regelmäßig neu gestartet
wird.

Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich
machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:

# adduser postfix ssl-cert
# postfix stop
# postfix start
# id postfix
uid=116(postfix) gid=125(postfix) Gruppen=125(postfix),45(sasl),110(ssl-cert)

Mit den Gruppenrechten darf Postfix Debian-konform die certs und auch die keys
(!) unterhalb /etc/ssl/ lesen:

# tree -ugp /etc/ssl/private/
/etc/ssl/private/
├── [-rw------- root     dovecot ]  dovecot.pem
├── [-rw-r----- root     ssl-cert]  patrick.example.com.key
└── [-rw-r----- root     ssl-cert]  ssl-cert-snakeoil.key

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users