[postfix-users] TLS von MTA zu MTA

Patrick Ben Koetter p at sys4.de
Mo Aug 12 09:33:06 CEST 2013 

* Jochen Fahrner <jf at fahrner.name>:
> Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
> > Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich
> > machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
> 
> Ok, hab ich gemacht. Gruppe sasl fehlte auch.
> 
> Eins ist aber immer noch merkwürdig: Bei Mails zu web.de ist die
> Verbindung jetzt "Trusted" und ich sehe auch welches Root-CA benötigt wurde.
> 
> Zu den meisten anderen ist die Verbindung jedoch nur "untrusted" und es
> fehlt auch die Angabe des Root-CA. Kann das sein dass die Mehrzahl nur
> selfsigned Zertifikate besitzt?

Ja, darauf würde ich jetzt mal ohne "die Mehrzahl" abgeklappert zu haben auch
tippen. Den Meisten reicht es, wenn sie mit einer selbstsignierten,
verschlüsselten Verbindung "Datenintegrität", "Privatsphäre" und ggf.
"Zugangskontrolle" herstellen können. Auf "Authentizität" (Identität) legen
sie scheinbar nicht denselben Wert.

Ob ein cert selfsigned ist, kannst du ggf. mit openssl auf der Kommandozeile
nachvollziehen. Das hier ist selfsigned:

$ openssl s_client -starttls smtp -CAfile /etc/ssl/certs/ca-certificates.crt -connect mail.sy4.de:25

...
    Verify return code: 18 (self signed certificate)
...

Das hier passt:

$ openssl s_client -starttls smtp -CAfile /etc/ssl/certs/ca-certificates.crt -connect mail.sys4.de:25

...
    Verify return code: 0 (ok)
...


> Und auch seltsam: zu GMX bekomme ich outbound ein "Trusted", inbound
> aber nur "untrusted". Ist da bei mir noch was schief, oder bei GMX?

Es obliegt dem Client zu entscheiden, ob eine STARTTLS-Verbindung aufgebaut
wird. Die RFCs fordern sogar ausdrücklich, dass ein öffentlich (!)
erreichbarer SMTP-Server nicht zwingend STARTTLS einfordern darf, weil nicht
vorausgesetzt werden kann, das der Client es auch beherrscht.

Das würde ich bei GMX jetzt schon voraussetzen. Wir müssten die GMXler fragen,
warum deren Mailserver das Angebot Deines Servers nicht wahrnehmen.

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users