Public Mailserver mit Self-Signed-Zertifikat

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
29 messages Options
12
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Walter H.
On 22.01.2019 13:08, Stefanie Leisestreichler wrote:

>
>
> Am 22.01.19 um 13:02 schrieb Stefanie Leisestreichler:
>>
>>
>> Keinen. Mir ist auch aus dem Kontext entgangen, dass dies so gesagt
>> wurde, wenn ich ehrlich bin.
>
> Meine Antwort war schwachsinnig, sorry. Was ich meinte, war der
> Umstand, dass nicht für jede Domain, für die der Postfix als
> Destination konfiguriert ist, ein Zertifikat vorgehalten werden kann
> und muss.
war sie nicht zwingend, sobald Du folgende Konstellation hast

Domain  example.com  hat als  MX   mail.example.com
Domain  example.net     hat als MX   mail.example.net
Domain  example.org    hat als MX    mail.example.org
und die A/AAAA Einträge von
mail.example.com, mail.example.net, mail.example.org zeigen alle auf den
selben Host,
dann brauchst auch ein Zertifikat welches alle 3 Hostnamen in den SANs
abbildet;

von daher empfiehlt sich folgendes:
es haben alle 3 Domains den selben MX Eintrag
z.B.    mail.example.net  dann braucht das Zert. auch nur  
mail.example.net validieren ...



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Walter H.
In reply to this post by Patrick Ben Koetter-2
On 22.01.2019 14:01, Patrick Ben Koetter wrote:
> Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein.
sicher?
dachte es wäre hinreichend, wenn der Hostname des MX in den SANs des
x509-Zertifikates abgebildet wäre ...



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Patrick Ben Koetter-2
* Walter H. <[hidden email]>:
> On 22.01.2019 14:01, Patrick Ben Koetter wrote:
> > Der CN des Zertifikats muss identisch mit dem Hostnamen des MX sein.
> sicher?
> dachte es wäre hinreichend, wenn der Hostname des MX in den SANs des
> x509-Zertifikates abgebildet wäre ...

IIRC hast Du recht.

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Stefanie Leisestreichler
In reply to this post by Walter H.


Am 23.01.19 um 15:42 schrieb Walter H.:

> On 21.01.2019 18:19, Stefanie Leisestreichler wrote:
>> Hallo.
>> Ich möchte gerne die Kommunkation zwischen meinem Mailserver und
>> anderen Mailservern, die Mails bei diesem einliefern, per TLS
>> verschlüsseln.
>>
>> Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende?
>> Auch im Hinblick darauf, dass dieses von anderen Servern akzeptiert
>> wird und das Einkippen von Mails nicht daran scheitert, dass dieses
>> nicht von einer offiziellen CA signiert ist? Habe ich dadurch mit
>> irgendwelchen weiteren Seiteneffekten zu kämpfen Eurer Erfahrung nach?
>>
>> Vielen lieben Dank,
>> Stefanie
> das ist keine gute Idee ...
>
> genau wie Du beim Browser einen Aufschrei machst, wenn was mit den
> Serverzertifikaten nicht passt,
> kann auch ein Mailserver den Aufbau der Verbindung verweigern ...
>

Aha...
Schleichte Nachrichten, fürchte ich. Ich werde mein Vorhaben daher
einmal konkretisieren:
Soweit ich das verstanden habe, geht es hierbei um 2 Dinge, die ich
hoffentlich richtig auseinander halte.
1) Der Versand von Server zu Server, also wenn bspw. mx.example.com mir
eine Mail an meinen MX zustellen will.
2) Wenn einer meiner User sich bei meinem MX authentifizieren möchte,
weil er bspw. mit seinem Mailclient dessen smtpd benutzen möchte.

Punkt 1 kann ich nicht beeinflussen, dort muss ich sicherstellen, dass
ich die Voraussetzungen herstelle, dass jeder andere Server in der Lage
ist ohne weiteres mit meinem MX zu kommunizieren. Es darf nicht
passieren, dass der Mailversand von irgendwoher an einer technischen
Unzulänglichkeit scheitert.

Mit Punkt 2 hätte ich keine Probleme, wenn Du dort das Problem siehst.
Meine User könnte ich anweisen 1x das Zertifikat zu akzeptieren und
dieses dann zukünftig zu verwenden.

Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX zu
Absicherung der Kommunikation mein Zertifikat importieren muss, dann ist
das ein Showstopper, weil dies sicherlich keiner tun wird.

Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich gesagt
war es dann genau das, was ich nicht hören wollte :-(

LG
Stefanie
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Stefanie Leisestreichler
In reply to this post by Patrick Ben Koetter-2


Am 23.01.19 um 16:00 schrieb Patrick Ben Koetter:
> IIRC hast Du recht.
Kann mir jemand sagen, wofür die Abkürzung IIRC steht, damit ich
verstehe, was Patrick meinte? Vielen Dank.
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

J. Fahrner
In reply to this post by Stefanie Leisestreichler
Am 2019-01-23 20:31, schrieb Stefanie Leisestreichler:
> Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX
> zu Absicherung der Kommunikation mein Zertifikat importieren muss,
> dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.
>
> Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich
> gesagt war es dann genau das, was ich nicht hören wollte :-(

Mir ist kein Ernst zu nehmender Mailserver bekannt, der eine Mail
ablehnt, weil ihm das Zertifikat nicht gefällt. Der Grossteil aller
Mails wird immer noch unverschlüsselt übermittelt. Eine Verschlüsselung
ablehnen, weil das Zertifikat selbst-signiert ist macht überhaupt keinen
Sinn. Wer seinen Mailserver so einstellt, schneidet sich damit selbst
vom Netz ab. Kann er machen, ist seine eigene Entscheidung, solche
"Einsiedler" wären aber kein Entscheidungskriterium für mich.

Wer Wert darauf legt, seinen gegenüber zu verifizieren, der macht das
mit PGP oder S/MIME Signaturen. Das ist nicht die Aufgabe des
Transportsystems!

Die Post transportiert auch jeden Brief. Will ich meinen Gegenüber
identifizieren, dann muss ich eben zum Postident-Verfahren greifen.

Jochen
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Katharina Knuth
In reply to this post by Stefanie Leisestreichler
Am 23.01.19 um 20:34 schrieb Stefanie Leisestreichler:
>
>
> Am 23.01.19 um 16:00 schrieb Patrick Ben Koetter:
>> IIRC hast Du recht.
> Kann mir jemand sagen, wofür die Abkürzung IIRC steht, damit ich
> verstehe, was Patrick meinte? Vielen Dank.

if I remember (me) correctly

--
Mit freundlichem Gruß,
With kind regard,
Katharina Knuth
Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Walter H.
In reply to this post by J. Fahrner
On Wed, January 23, 2019 20:46, J. Fahrner wrote:

> Am 2019-01-23 20:31, schrieb Stefanie Leisestreichler:
>> Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX
>> zu Absicherung der Kommunikation mein Zertifikat importieren muss,
>> dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.
>>
>> Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich
>> gesagt war es dann genau das, was ich nicht hören wollte :-(
>
> Mir ist kein Ernst zu nehmender Mailserver bekannt, der eine Mail
> ablehnt, weil ihm das Zertifikat nicht gefällt.
so kann das auch nicht gehen, weil das Zertifikat hat er ja selber ...

es geht in die andere Richtung, Mailserver x prüft das Zertifikat von
Mailserver y um sicher zu gehen, auch dem richtigen Mailserver die Mail zu
übermitteln; schlägt die Prüfung fehl verwirft er die Mail ...

> Der Grossteil aller
> Mails wird immer noch unverschlüsselt übermittelt.

hier gehts auch nicht um die Mailverschlüsselung an sich sondern um die
Authentizität bzw. Integrität des Mailservers

> Eine Verschlüsselung
> ablehnen, weil das Zertifikat selbst-signiert ist macht überhaupt keinen
> Sinn.

stimmt, aber verwerfen weil man nicht weiß wer er ist; vgl. mit Postboten
in Fake-Uniform, denen wirst auch keine Post übergeben, eher shredderst
sie;

> Wer Wert darauf legt, seinen gegenüber zu verifizieren, der macht das
> mit PGP oder S/MIME Signaturen.

Ja und Nein;

> Das ist nicht die Aufgabe des
> Transportsystems!

Stimmt aber die Aufgabe des Absenders ist es zu entscheiden, welches
Transportunternehmen beauftragt wird ...

> Die Post transportiert auch jeden Brief. Will ich meinen Gegenüber
> identifizieren, dann muss ich eben zum Postident-Verfahren greifen.

das hindert aber niemanden daran die Post via Eulen nach Athen zu schicken
...


Reply | Threaded
Open this post in threaded view
|

Re: Public Mailserver mit Self-Signed-Zertifikat

Patrick Ben Koetter-2
In reply to this post by Stefanie Leisestreichler
* Stefanie Leisestreichler <[hidden email]>:
>
>
> Am 23.01.19 um 16:00 schrieb Patrick Ben Koetter:
> > IIRC hast Du recht.
> Kann mir jemand sagen, wofür die Abkürzung IIRC steht, damit ich verstehe,
> was Patrick meinte? Vielen Dank.

Aus dem Jahr 2004 (ich werde alt :-D):
<http://catb.org/jargon/html/I/IIRC.html>


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
12