PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix: TLS Patch



Multe
03.01.05, 18:48
Hallo,

ich habe mir folgende Dateien runtergeladen:
pfixtls-0.8.18-2.1.3-0.9.7d.tar.gz
postfix-2.1.5.tar.gz

Wenn ich das so sehe, passen die 2 Files nicht zusammen, oder irre ich mich da?

Wenn ja, muss ich denn nur Patchstatus 3 Postfix Sourcen laden?

Gibt es ein Howto wo erklärt wird wie man TLS dort einkompiliert?

OS: SuSe 9.1
Gruß Malte

mccologne
03.01.05, 20:22
Hey,

Postfix unter SuSE 9.1 kann schon TLS. Du musst nur die entsprechenden Optionen unter
/etc/postfix/main.cf einrichten. Ich poste mal meine Einstellung (auch SuSE 9.1 out of the box).
Welche Postfix-Version...
# postconf mail_version
mail_version = 2.0.19-20040312
Auszug aus /etc/postfix/main.cf:
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_CAfile = /etc/postfix/CAcert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_received_header = no
smtpd_use_tls = yes
Wie du siehst, musst Du ein Certifikat nebst Schlüssel anlegen. Dafür einfach mal googeln......
Anschließend testen:
server:~ # telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 server.dein.netz ESMTP Postfix
EHLO server
250-server.dein.netz
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS # Hier die wichtigen Hinweise, das TLS gestartet ist
250-AUTH LOGIN #
250-AUTH=LOGIN #
250 8BITMIME

und Log-Datei beobachten!!
# tail -f /var/log/mail

Mit Kmail kannst du dann TLS-Client-Verbindung einrichten/testen
Viel Spaß beim einrichten.........

McCologne

zini2001
03.01.05, 21:34
die option
smtpd_tls_auth_only=yes
würd ich auf jeden fall einschalten.
..."sie stellt sicher, dass das Auth-Kommando nur dann angeboten wird, wenn die Verbindung verschlüsselt ist, damit Passwörter keinesfalls im klartext gesendet werden."c't 08/2004.

bei einer verbindung mit telnet localhost 25 sollte starttls auftauchen, aber auf keinen fall AUTH LOGIN PLAIN !!!

um die TLS-Verbinung zu testen den openssl-kommandoclient nutzen.

# openssl s_client -starttls smtp -host localhost -port 25

nach ssl-handshake informationen dann erneut EHLO localhost eingeben. nun steht das AUTH-befehl zu verfügung.

zusätzlich mit den befehl
smtpd_enforce_tls=yes
werden ausschliesslich mails angenommen, die über eine tls-verbindung eintreffen. aber achtung!!!wenn die mail mit fetchmail abgeholt werden!!!(http://www.linuxforen.de/forums/showthread.php?p=1043591#post1043591)
oder amavis-new genutzt wird. ("localhost:127.0.0.1 ...... -o smtpd_enforce_tls = no" in master.cf)
gruß

zini2001
03.01.05, 21:54
huch..hab die frage gar nicht richtig gelesen...

hab hier auch 9.1. brauchst dir nur ein ssl cert selfsigned zuzulegen und postfix wie oben beschreiben einstellen. evtl in der master.cf noch smtps auskommentieren. sonst nix.

ps: benutz dann mal die einstellung in der main.cf
smtpd_tls_loglevel = 2
dann spuckt postfix ein bischen mehr aus als sonst.
sonst auf 0 stellen, sonst sind die logfile schnell groß und voll.....

Hitman
03.01.05, 22:29
Hier gibt es eine schöne Anleitung http://www.projektfarm.com/en/support/howto/postfix_smtp_auth_tls.html und ganz unten auch die zugehörigen Patches.