Hallo Gemeinde :)

Nocheine Frage, die mich beißt:

Da geht es um den Mail-server mit Postfix... http://www.gentoo.org/doc/de/virt-mail-howto.xml

Und zwar genauer um dies:


Befehlsauflistung 5.1: SSL Zertifikate erstellen

# cd /etc/ssl/
# nano -w openssl.cnf

Ändern Sie die folgenden Standardwerte für Ihre Domain:
countryName_default
stateOrProvinceName_default
localityName_default
0.organizationName_default
commonName_default
emailAddress_default.

(Wenn die Variablen nicht existieren, dann erstellen Sie sie an einem sinnvollen Platz.)


# cd misc
# ./CA.pl -newreq-nodes
# ./CA.pl -newca
# ./CA.pl -sign
# cp newcert.pem /etc/postfix
# cp newkey.pem /etc/postfix
# cp demoCA/cacert.pem /etc/postfix
(Nun dasselbe für Apache.)

# openssl req -new > new.cert.csr
# openssl rsa -in privkey.pem -out new.cert.key
# openssl x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days 365
(Lassen Sie die Zertifikate einfach hier liegen.
Wir installieren sie nachdem der Apache installiert ist.)



Gut, letzteres "...nachdem Apache installiert ist..." halt ich jetzt mal ein wenig für verkehrte Reihenfolge, da ich meine das Apache, php, mysql schon da sein sollten, damit der ganze "Hergang" auch übersichtlich bleibt...

Doch eine Frage zu den Zertifikaten habe ich noch in Bezug zu ssl mit Postfix:

Angenommen, ich möchte anstatt einer "normalen http://www..." Site lieber eine "https://www..." also - ssl-Verschlüsselte bauen, dann benötige ich ja Zertifikate. (Hier bei mir habe ich dazu Zertifikate selbst signiert um welche zu besitzen und alles simulieren zu können)... Klar- es kommt eine "dusselige Meldung beim connecten über :443 zu "https://www.websitentest.test" - das es ein problem mit der Echtheit des Zertifikates gebe - aber klar.

Doch wie sieht es mit den Zertifikaten für den Postfix Mailsvr aus? Braucht der kein "offizielles" Zertifikat von einer bestimmten Truth of ... Company"? Ich meine, irgendwie ergibt es keinen Sinn, wenn jeder Browser jammert, wenn er auf meine Testsite über ssl connected, aber der Mailsvr Postfix begnügt sich - vor allem - wenn er beim Root zum Einsatz kommt - mit "einfachen selbstsignierten" Zertifikaten, die sich jeder Spammer auch ebenfalls selbst erstellen könnte?! Dann würde doch das ganze "Emperium of Trust" ausgehebelt und meine mails zu 100% nicht jedem zugestellt...

Viel Text, sorry, aber ich wollte es auch so schildern, wie es bei mir im Kopf rumspukt. :confused:

Wäre wirklich sehr nett, wenn ihr mir da ein wenig mehr die Augen öffnet...:o

Gruß
Neutrino_2003

Hallo Neutrino,

das Problem mit dem nicht vertrauenswürden Zertifikat wirst Du auch bekommen. Dein Client-Programm Thunderbird oder was auch immer wird hier ebenfalls das jammern anfangen. (Sobald die Verbindung über SSL aufgebaut wird!)
Dem Server ist es sicherlich egal ob das selfsigned ist oder nicht. Es wird ja immer nur auf der Clientseite geprüft.

Gruß

Linosch

Hallo linosch :)


Dem Server ist es sicherlich egal ob das selfsigned ist oder nicht. Es wird ja immer nur auf der Clientseite geprüft.

Aber wie sieht das beim Mailsvr aus? Käme dann auch irgends ein solcher Fehler zum Vorschein - angenommen, ich erstelle mir solche Zertifikate für den Postfix selbst...?

Hab gestern noch ein wenig im Internet zugebracht und gelesen, das es ausser der von mir von der gentoo-Seite geposteten How-To noch eine andere Möglichkeit gibt:

Postfix, MySQL (oder PostgreSQL) und Dovecot... Allerdings scheint das ganz ohne ssl auszukommen. Ich bin unsicher - Nehme ich die letztere Methode, und brauch irgendwann im Mailsvr ssl, dann habe ich keins. Nehm ich direkt die Methode mit ssl, werd ich wahrscheinlich keines brauchen... Trotzdem - die Dovecot-Methode scheinen wohl (nach meinen Recherchen) sehr viele zu nutzen. Man sagt, es sei eine ziemlich 'saubere' Sache... Wenn es die Möglichkeit gebe, ssl Dovecot Postfix, dann würd ich wahrscheinlich die in Angriff nehmen... Mal gucken ob ich solch eine finde...

Hmmm -:confused:

Danke Dir für Deine Antwort
Neutrino_2003

Die Zertifikate sind dafür da, dass die Verbindung verschlüsselt abläuft und nicht, um ein Vertrauen aufzubauen. Das Vertrauen brauchst du ja erst beim Abholen der Mails.

Die Zertifikate sind dafür da, dass die Verbindung verschlüsselt abläuft und nicht, um ein Vertrauen aufzubauen. Das Vertrauen brauchst du ja erst beim Abholen der Mails.

verschlüsselung ohne vertrauen ist aber ganz genau gar nichts wert.
--> man-in-the-middle

//richard

Das es ebenfalls zu "Attacke - Man in the middle" zählt, wusste ich nicht, doch genau dies hatte ich gemeint, als ich vom "Vertrauen" sprach... :rolleyes:

Klar, einerseits hat DrunkenFreak sicher nicht unrecht, das es zur Authentifizierung kommt, wenn ich die Mails am Server abhole... Bzw wenn der Empfänger ebenfalls über eine solche Verbindung seine Mails abholt - Doch das Vertrauen sollte natürlich durch ein ordentliches Zertifikat gewährleistet sein... womit die Meinung von 'derRichard' und meine kongruent sind.

Ich hab mich da mal die letzten Tage auch etwas im Hinblick auf Zertifikate schon etwas ausbaldowert... Ich weiß noch nicht, ob ich die Site ssl mache, da ich eigentlich darüber nichts "direkt verkaufe" oder "Geld vor Ware" empfange, was sicher 100% niemand tun würde, wenn er beim Zugriff auf die Seite Zertifikatfehler erblicken muss :/

Die teuren Zertifikate (ab 250€ - die, die auch die Browserzeile grün einfärben) bräuchte ich ja im Falle Mailserver wahrscheinlich nicht, sondern nur eins, das meine Identität bzw des Servers bestätigt...

Ich werd mich aber jetzt auch noch mal im gentoo-Forum schlau machen, weil ich irgendwie der Anleitung http://www.gentoo.org/doc/de/virt-mail-howto.xml - wenn ich ehrlich bin - nicht mehr so ganz traue. Wenn bei gentoo etwas älter als ein Jahr ist, sollte man nicht alles genauestens befolgen, was in irgendwelchen How-To's steht (Eigene Erfahrung). Zu Debian finde/ oder habe ich bereits dutzende Anleitungen gefunden, wie man Mailsvr problemlos mit und auch ohne ssl einrichtet. Sogar der Server-Hoster (bei dem ich beabsichtige, den Root zu mieten) bietet erstklassige How-To's für Debian an.

Gruß
Neutrino_2003