Verifikation des einliefernden Servers pro Absender-Domain

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Verifikation des einliefernden Servers pro Absender-Domain

Richard Rafalski
Hallo,

ich möchte für eine vorgegebene Domain (mydomain.tld) einen
Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch
zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen Server
(A) hab.

1. Server A soll bei herausgehenden Mails für die Empfänger-Domain
mydomain.tld die Mail an Server B verschlüsselt übermitteln und dessen
Zertifikat überprüfen.

2. Server A soll bei reinkommenden Mails für die Absender-Domain
mydomain.tld nur verschlüsselte Verbindungen von Server B akzeptieren.
Server B wird wieder anhand seines Zertifikats identifiziert.

1. ist bereits mit einer transport-table und einer tls_policy eingerichtet:

main.cf enthält

smtp_tls_policy_maps = hash:/etc/postfix/tls_policy

transport_maps = hash:/etc/postfix/transport

und /etc/postfix/tls_policy

[serverb.mydomain.tld]  secure match=serverb.mydomain.tld

und /etc/postfix/transport

mydomain.tld         smtp:[serverb.mydomain.tld]

Wie geht man am besten bei 2. vor?

Bin für Hinweise und Anregungen dankbar

Richard


Reply | Threaded
Open this post in threaded view
|

Re: Verifikation des einliefernden Servers pro Absender-Domain

Alex JOST
Am 31.08.2016 um 00:34 schrieb Richard Rafalski:

> Hallo,
>
> ich möchte für eine vorgegebene Domain (mydomain.tld) einen
> Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch
> zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen Server
> (A) hab.
>
> 1. Server A soll bei herausgehenden Mails für die Empfänger-Domain
> mydomain.tld die Mail an Server B verschlüsselt übermitteln und dessen
> Zertifikat überprüfen.
>
> 2. Server A soll bei reinkommenden Mails für die Absender-Domain
> mydomain.tld nur verschlüsselte Verbindungen von Server B akzeptieren.
> Server B wird wieder anhand seines Zertifikats identifiziert.
>
> 1. ist bereits mit einer transport-table und einer tls_policy eingerichtet:
>
> main.cf enthält
>
> smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
>
> transport_maps = hash:/etc/postfix/transport
>
> und /etc/postfix/tls_policy
>
> [serverb.mydomain.tld]  secure match=serverb.mydomain.tld
>
> und /etc/postfix/transport
>
> mydomain.tld         smtp:[serverb.mydomain.tld]
>
> Wie geht man am besten bei 2. vor?
>
> Bin für Hinweise und Anregungen dankbar
>
> Richard

Du kannst den Absender z.B. mit check_client_access oder
check_sender_access in den smtpd_*_restrictions überprüfen, und dort
eine Klartext-Verbindung verhindern.

/etc/postfix/main.cf:
     smtpd_recipient_restrictions =
         [...]
         check_client_access cidr:/etc/postfix/kein_klartext.cidr,
         [...]

/etc/postfix/kein_klartext.cidr:
     1.2.3.4        reject_plaintext_session


Mir ist leider abgesehen von DANE keine Möglichkeit bekannt das
Zertifikat von eingehenden Verbindungen genauer zu überprüfen.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Verifikation des einliefernden Servers pro Absender-Domain

Klaus Tachtler
In reply to this post by Richard Rafalski
Hallo Richard,

schau mal hier, das habe ich für mich mal in meinem DokuWiki dazu  
dokumentiert:

http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#tls-policies-konfiguration

Hier wird via TLS-Policy-Maps, für eine Domain der Fingerprint eines  
Zertifikats hinterlegt, und nur wenn dieser mit der aktuellen  
Verbindung übereinstimmt, mit dem Server auf der anderen Seite  
kommuniziert, je nach Einstellung.

Grüße
Klaus.

> Hallo,
>
> ich möchte für eine vorgegebene Domain (mydomain.tld) einen  
> Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch  
> zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen  
> Server (A) hab.
>
> 1. Server A soll bei herausgehenden Mails für die Empfänger-Domain  
> mydomain.tld die Mail an Server B verschlüsselt übermitteln und  
> dessen Zertifikat überprüfen.
>
> 2. Server A soll bei reinkommenden Mails für die Absender-Domain  
> mydomain.tld nur verschlüsselte Verbindungen von Server B  
> akzeptieren. Server B wird wieder anhand seines Zertifikats  
> identifiziert.
>
> 1. ist bereits mit einer transport-table und einer tls_policy eingerichtet:
>
> main.cf enthält
>
> smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
>
> transport_maps = hash:/etc/postfix/transport
>
> und /etc/postfix/tls_policy
>
> [serverb.mydomain.tld]  secure match=serverb.mydomain.tld
>
> und /etc/postfix/transport
>
> mydomain.tld         smtp:[serverb.mydomain.tld]
>
> Wie geht man am besten bei 2. vor?
>
> Bin für Hinweise und Anregungen dankbar
>
> Richard

----- Ende der Nachricht von Richard Rafalski  
<[hidden email]> -----




--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Verifikation des einliefernden Servers pro Absender-Domain

Juergen Christoffel
In reply to this post by Alex JOST
On Wed, Aug 31, 2016 at 10:00:55AM +0200, Alex JOST wrote:
> [...]
>Mir ist leider abgesehen von DANE keine Möglichkeit bekannt das
>Zertifikat von eingehenden Verbindungen genauer zu überprüfen.

Mir auch nicht. Zum Thema gibt es hier eine sehr gute Betrachtung zur
(Un-)Nützlichkeit von STARTTLS zwischen Mail-Servern gegen aktive
Angreifer. Und ein guter Grund endlich DNSSEC plus DANE einzusetzen:

https://blog.filippo.io/the-sad-state-of-smtp-encryption/

        --jc

--
  Doctorow's Law: Anytime someone puts a lock on something you own, against
  your wishes, and doesn't give you the key, they're not doing it for your
  benefit.