Archiv verlassen und diese Seite im Standarddesign anzeigen : exim4 nur mit TLS
real-challo
31.03.10, 10:52
Hallo !
Ich möchte gerne ein Mailserver (exim) aufsetzen, der nur TLS-Verbindungen (also verschluesselte) zulaesst.
Aber er nimmt Mails auch unverschluesselt an.
Also nicht die Mails sollen verschluesselt werden (das machen ja die Clients) sondern die Verbindung.
Als Test, wenn ich in Thunderbird "Verschlüsselte Verbindung" auf "Nie" setze, nimmt der Mailserver sie trotzdem an - und das darf nicht sein.
Habt ihr einen Tipp ?
Danke.
Hallo,
grundsätzlich ist deine Idee nicht schlecht. Leider hast du deine Konfiguration nicht angehängt, so dass ich eine wenig ins Blaue schieße:
Die Einstellungen in der Exim-Konfiguration sind dabei in zwei Bereichen zu finden.
Im globalen Bereich musst du mindestens TLS-Verbindungen grundsätzlich zulassen und Zertifikatseinstellungen vornehmen, außerdem musst du festlegen, wann die unten beschriebene ACL geprüft wird:
tls_advertise_hosts = * # TLS für alle Verbindungen anbieten
tls_certificate = /etc/exim4/exim4.crt # Speicherorte für Zertifikat
tls_privatekey = /etc/exim4/exim4.key # und privaten Schlüssel
acl_smtp_mail = verschluesselt # Wann wird die Verschlüsselung geprüft (hier beim SMTP "MAIL FROM:")
Was sonst noch in diesem Bereich möglich ist, findest du in der Exim-Doku: http://exim.org/exim-html-current/doc/html/spec_html/ch39.html#SECID182
Im Bereich der ACLs musst du dann dafür sorgen, dass nur eMails angenommen werden, wenn die Verbindung verschlüsselt ist, also zB.
begin acl
verschluesselt:
accept encrypted = * # Beliebige Verschlüsselung akzeptieren
Welche ACLs es gibt und worauf man so prüfen kann, steht hier http://exim.org/exim-html-current/doc/html/spec_html/ch40.html
Allerdings solltest du bedenken, dass du evtl. Ausnahmen definieren musst, wenn der Exim ein MX für eine Internetdomäne ist. Dann kann es nämlich durchaus passieren, dass ein MTA von example.com eine Mail an deinen MTA übergeben will, kein TLS beherrscht und die Zustellung deswegen fehlschlägt.
Ciao sagt Maik
real-challo
14.04.10, 09:29
Hi,
Habe die Einstellungen, so wie Du sagtest - bis auf "acl_smtp_mail" - die habe ich nicht drin.
Was mir aufgefallen ist :
Wenn ich als "authenticators" PLAIN habe, dann akzeptiert er Mails die unverschlüsselt verschickt werden - (bei Thunderbird "Nie") - also so wie ich es haben will. Wenn ich aber PLAIN rausnehme und nur "CRAM-MD5" habe, dann akzeptiert er Mails, auch wenn in Thunderbird "Nie" angeklickt ist.
Ich denke es ist so O.K. - wenn ich alles richtig verstanden habe.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.