[postfix-users] TLS von MTA zu MTA

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
33 messages Options
12
Reply | Threaded
Open this post in threaded view
|

[postfix-users] TLS von MTA zu MTA

J. Fahrner
Hallo,

seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
erzwingen? Wenn ja, wie müsste man das in seinem Postfix konfigurieren,
sodass niemals unverschlüsselt Mails ausgetauscht werden?

_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Robert Schetterer-2
Am 09.08.2013 14:15, schrieb Jochen:

> Hallo,
>
> seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
> staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
> möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
> erzwingen? Wenn ja, wie müsste man das in seinem Postfix konfigurieren,
> sodass niemals unverschlüsselt Mails ausgetauscht werden?
>
> _______________________________________________
> postfix-users mailing list
> [hidden email]
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>

das musst du am Ende selbst entscheiden
die Frage ist ,ob du noch am allgemeinen unverschluesselten Mailverkehr
teilnehmen willst oder nicht, du kannst andere nicht per se zur
Verschluesselung zwingen

schau mal evtl

http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/




Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
Am 09.08.2013 14:30, schrieb Robert Schetterer:
> schau mal evtl
> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/
> Best Regards MfG Robert Schetterer

Danke, der Artikel hilft mehr sehr!

_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Florian Streibelt
In reply to this post by Robert Schetterer-2
Am Fr, 09.08.13 um 14:30:38 Uhr
schrieb Robert Schetterer <[hidden email]>:

@ Robert Schetterer - letzte Mail von mir einfach löschen...


> Am 09.08.2013 14:15, schrieb Jochen:
> > Hallo,
> >
> > seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
> > staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
> > möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
> > erzwingen? Wenn ja, wie müsste man das in seinem Postfix konfigurieren,
> > sodass niemals unverschlüsselt Mails ausgetauscht werden?

> das musst du am Ende selbst entscheiden
> die Frage ist ,ob du noch am allgemeinen unverschluesselten Mailverkehr
> teilnehmen willst oder nicht, du kannst andere nicht per se zur
> Verschluesselung zwingen
>

Es gibt noch ein weitaus größeres Problem - die passenden Zertifikate.

Heute ging ja gerade diese 'Email made in Germany' Aktion durch die presse - da versuchen sie genau das.

http://www.heise.de/newsticker/meldung/E-Mail-Made-in-Germany-SSL-Verschluesselung-fuer-fast-alle-1932962.html

Das skaliert aber nicht, und spiegelt m.E. eine Sicherheit vor die nicht da ist und sperrt wieder mal kleinere Anbieter aus, deren Mails als nicht sicher angezeigt werden.



Zum Einen sind da draußen hundertausende Mailserver, die keine 'offiziellen' Zertifikate von einer 'anerkannten' CA haben. Meine auch nicht, ich benutze CaCert Zertifikate und habe auch nicht vor das zu ändern, da es kein mehr an Sicherheit bietet.

Zum Anderen wissen wir spätestens seit DigiNotar, wie kaputt das System der CAs ist. Und das kann man auch nicht reparieren - da jede CA prinzipbedingt für jede Domain ein Zertifikat ausstellen kann.
Damit ist es dann eben möglich, dass China Telekom oder Türktrust oder eine 'vertrauenswürdige' CA in den USA ein Zertifikat für eine Domain Deiner Wahl ausstellt.

In dem Projekt der Telekom da oben umgehen sie es, indem sie ausschliesslich Zertifikate akzeptieren, die von der Telekom ausgestellt wurden. Super. Wenn ich als Kleinunternehmer da dann mitmachen will, muss ich vermutlich EUR 500 pro Jahr dafür zahlen.


Wenn Du also den 'anerkannten' CAs traust kann die NSA immer noch ein mitm machen - du müsstest schon manuell die Zertifikatsprüfsummen pflege - spätestens dann skaliert das nicht mehr - und da es keine Ankündigung gibt, wann ein Provider seine Keys ändert, wirst Du immer hinterherrennen und Zertifikate nachpflegen müssen - und musst dann jedesmal prüfen (wie?) ob das ein valides Zertifikat ist oder nicht.


Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten wollen - und wie bekommt man raus wer kein TLS anbietet und bei wem von außen die TLS Verhandlung unterbunden wird?

Zudem liegen die Emails dann wieder unverschlüsselt bei den jeweiligen Anbietern. Damit spiegelt es den Anwendern eine Sicherheit vor die nicht da ist.


Um es wirklich sicher zu bekommen, also so, dass sich der Aufwand auch lohnt, muss man leider zu echter Ende zu Ende Verschlüsselung greifen, also gpg oder wenns sein muss s/mime.

Grüße,
  Florian
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Robert Schetterer-2
In reply to this post by Robert Schetterer-2
Am 09.08.2013 15:40, schrieb Florian Streibelt:

> Am Fr, 09.08.13 um 14:30:38 Uhr
> schrieb Robert Schetterer <[hidden email]>:
>
>> Am 09.08.2013 14:15, schrieb Jochen:
>>> Hallo,
>>>
>>> seit dem PRISM-Skandal macht man sich natürlich Gedanken, wie man die
>>> staatliche Schnüffelei weitestgehend unterbinden kann. Ist es mit
>>> möglich (und sinnvoll) eine TLS-Verschlüsselung zwischen 2 MTAs zu
>>> erzwingen? Wenn ja, wie müsste man das in seinem Postfix konfigurieren,
>>> sodass niemals unverschlüsselt Mails ausgetauscht werden?
>
>> das musst du am Ende selbst entscheiden
>> die Frage ist ,ob du noch am allgemeinen unverschluesselten Mailverkehr
>> teilnehmen willst oder nicht, du kannst andere nicht per se zur
>> Verschluesselung zwingen
>>
>
> Es gibt noch ein weitaus größeres Problem - die passenden Zertifikate.
>
> Ich hab grade keine Zeit für eine ausführliche Antwort, daher nur grob.
>
>
> Es gibt ja gerade diese 'Email made in Germany Aktion' - da versuchen sie genau das.
>
> http://www.heise.de/newsticker/meldung/E-Mail-Made-in-Germany-SSL-Verschluesselung-fuer-fast-alle-1932962.html
>
> Das skaliert aber nicht, und spiegelt m.E. eine Sicherheit vor die nicht da ist und sperrt wieder mal kleinere Anbieter aus, deren Mails als nicht sicher angezeigt werden.

Marketing Fasel...., und die "Anzeige" wuerde ja erstmal nur in deren
Webmail zu sehen sein, mal ehrlich wer nutzt das schon, wenn er gerade
nicht muss, es ist eher peinlich fuer diese Firmen ,wenn man es genau
nimmt, dass sie nicht schon immer die Uebertragung
verschluesselten,falls es moeglich war.

Microsoft hat mit Exchange auch so einen Modus , als besonderes neues
Feature angepriesen hat wie immer nur einen einen tollen neuen Namen
dafuer erfunden und die Anzeige geht natuerlich nur mit Outlook und
Exchange....ich befuerchte es gibt sogar Admins die das als neues
Killerfeature ansehen *g

>
>
>
> Zum einen sind da draußen hundertausende Mailserver, die keine 'offiziellen' Zertifikate von einer 'anerkannten' CA haben. Meine auch nicht, ich benutze CaCert Zertifikate und habe auch nicht vor das zu ändern, da es kein mehr an Sicherheit bietet.
>
> Spätestens seit DigiNotar wissen wir, wie kaputt das CA-System ist. Und das kann man auch nicht reparieren - da jede CA prinzipbedingt für jede Domain ein Zertifikat ausstellen kann.
> Damit ist es dann eben möglich, dass China Telekom oder Türktrust oder eine 'vertrauenswürdige' CA in den USA ein Zertifikat für eine Domain Deiner Wahl ausstellt.
>
> Wenn Du also den 'anerkannten' CAs traust kann die NSA immer noch ein mitm machen - du müsstest schon manuell die ZErtifikatsprüfsummen pflegen.
>
>
> Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten wollen - und wie bekommt man raus wer kein TLS anbietet und bei wem von außen die TLS verhandlung unterbunden wird?
>
>
>
> Grüße,
>   Florian
>

also ich hab jahrelang selbst produzierte ssl crts verwendet, ich hab
zwar nicht gelogged wer die alles akzeptierte, aber ich kann mich
eigentlich nicht daran erinnern dass sie massenhaft abgelehnt wurden,
ich gehe davon aus dass die meisten es pragmatisch handhaben und eben
nach dem Motto verfahren besser ein selbst gemachtes crt und
verschluesseln als gar nicht, einfach ausprobieren und mitloggen

Am Ende sollte die Email selbst  aber auch verschluesselt sein (
pgp,smime etc ) sonst ist es eh immer eine "Scheinsicherheit"

Wer ganz sicher gehen will sollte ausserdem auf Open Source
Betriebssysteme setzen *g



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
In reply to this post by Florian Streibelt
Am 09.08.2013 16:34, schrieb Florian Streibelt:
> Zudem liegen die Emails dann wieder unverschlüsselt bei den jeweiligen Anbietern. Damit spiegelt es den Anwendern eine Sicherheit vor die nicht da ist.

Ich denke das ist das geringere Problem, da heutzutage die Mails direkt,
ohne Beteiligung weiterer MTAs, zum MTA des Empfängers zugestellt
werden. Wie der sein System vor fremdem Zugriff schützt ist Sache des
Empfängers.

Wie wir von Snowden gelernt haben, zapfen die Geheimdienste ihre Daten
aber an den Internet Knoten und Backbones ab, und da würde eine
TLS-Verschlüsselung schon viel verhindern.

> Um es wirklich sicher zu bekommen, also so, dass sich der Aufwand auch lohnt, muss man leider zu echter Ende zu Ende Verschlüsselung greifen, also gpg oder wenns sein muss s/mime.

Das schützt aber leider nur den Inhalt, nicht die Metadaten. Und die
scheinen den Geheimdiensten momentan das wichtigste zu sein.

Sicher ist nur eine Kombination aus beidem: verschlüsselter Inhalt, und
verschlüsselter Transport. Wobei man den Inhalt nicht immer
verschlüsseln kann. Versuche mal mit einem Versandhändler oder einer
Bank verschlüsselt zu kommunizieren.
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Christian Bricart
In reply to this post by Robert Schetterer-2
Am 2013-08-09 17:31, schrieb Robert Schetterer:

> Am 09.08.2013 15:40, schrieb Florian Streibelt:
>> [..]
>> Und selbst wenn das nicht so kaputt wäre, was macht man mit den Leuten
>> die kein TLS anbieten? Auch weil sie sich kein Zertifikat leisten
>> wollen - und wie bekommt man raus wer kein TLS anbietet und bei wem
>> von außen die TLS verhandlung unterbunden wird?
>> [..]
> also ich hab jahrelang selbst produzierte ssl crts verwendet, ich hab
> zwar nicht gelogged wer die alles akzeptierte, aber ich kann mich
> eigentlich nicht daran erinnern dass sie massenhaft abgelehnt wurden,
> ich gehe davon aus dass die meisten es pragmatisch handhaben und eben
> nach dem Motto verfahren besser ein selbst gemachtes crt und
> verschluesseln als gar nicht, einfach ausprobieren und mitloggen

Apropos - ich hab dann grade auch noch mal in mein Log geschaut. Und
dabei hätt' ich mal gerne ne Frage ;-)

Mails raus an bspw. web.de sehen total super aus:

Aug  9 17:46:12 mail2 postfix/smtp[15152]: Trusted TLS connection
established to mx-ha02.web.de[213.165.67.120]:25: TLSv1.2 with cipher
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Aber rein steht (auch bei *allen* anderen eingehenden ESMTPS
Serververbindungen):

Aug  9 16:29:27 mail2 postfix/smtpd[29718]: Anonymous TLS connection
established from mout.web.de[212.227.15.3]: TLSv1.2 with cipher
ECDHE-RSA-AES128-SHA (128/128 bits)

Ich beziehe mich hier auf den Unterschied "Trusted TLS connection" zu
"Anonymous TLS connection". Müsste dort nicht irgendwann auch mal
"Trusted" stehen...? Wie gesagt - das steht *nie* da.
Oder fehlt mir was in der Konfiguration bei smtpd_tls_* ?

smtpd_tls_security_level = may
smtpd_tls_CAfile = /etc/postfix/ssl/StartSSL_chain.pem
smtpd_tls_CApath = /etc/ssl/certs/
smtpd_tls_cert_file = /etc/postfix/ssl/cert.crt
smtpd_tls_key_file = /etc/postfix/ssl/cert.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

Das Zertifikat ist von StartSSL - also nicht ganz so "unakzeptiert" wie
ein's von CACert ;)

Ich *glaube* was fehlen würde wäre "smtpd_tls_ask_ccert=yes" - lasse
mich aber von dem Satz:
  | Additionally some MTAs (notably some versions of qmail) are unable to
complete
  | TLS negotiation when client certificates are requested, and abort the
SMTP session.
  | So this option is "off" by default
etwas einschüchtern das auf einem public MX zu aktivieren..

Grüsse
   Christian



_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Florian Streibelt
Am Fr, 09.08.13 um 18:32:12 Uhr
schrieb Christian Bricart <[hidden email]>:
>
> Mails raus an bspw. web.de sehen total super aus:

> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

jop, ist sogar diffie hellman key exchange bei.

>
> Aber rein steht (auch bei *allen* anderen eingehenden ESMTPS
> Serververbindungen):
>
> Ich beziehe mich hier auf den Unterschied "Trusted TLS connection" zu
> "Anonymous TLS connection". Müsste dort nicht irgendwann auch mal
> "Trusted" stehen...? Wie gesagt - das steht *nie* da.

IMHO:

Da du das Zertifikat des Clients nicht kennst ist der anonymous für Dich in Deiner Rolle als Server.
Du authentifizierst ja den remote server nicht direkt wie ein Client Zertifikat im Browser eines users.


> Ich *glaube* was fehlen würde wäre "smtpd_tls_ask_ccert=yes" - lasse
> mich aber von dem Satz:
>   | Additionally some MTAs (notably some versions of qmail) are unable to
> complete
>   | TLS negotiation when client certificates are requested, and abort the
> SMTP session.
>   | So this option is "off" by default
> etwas einschüchtern das auf einem public MX zu aktivieren..

Genau, ich gehe auch davon aus, dass das ausschliesslich benutzt wird, damit Du nur noch Verbindungen von servern annimmst, die ein valides ZErtifikat präsentieren - alle anderen machen dann entweder nen fallback auf plain oder sehen das als error und stellen nicht zu.

Das will man in der Regel beides nicht.


Die Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut. *sigh*


/Florian
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Robert Schetterer-2
Am 09.08.2013 23:47, schrieb Florian Streibelt:
> ie Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut. *sigh*

da ist was in Arbeit, ich hab grad nur keine url fuer den Patch parat


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Patrick Ben Koetter-2
* Robert Schetterer <[hidden email]>:
> Am 09.08.2013 23:47, schrieb Florian Streibelt:
> > ie Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut. *sigh*
>
> da ist was in Arbeit, ich hab grad nur keine url fuer den Patch parat

Ich denke, Robert bezieht sich auf DANE, für das Viktor im Moment Code für
Postfix entwickelt. Er hat auch einen RFC Draft eingereicht, der vorletzten
Donnerstag in Berlin auf dem IETF-Treffen
<https://datatracker.ietf.org/meeting/87/agenda/dane/> in einer Session
besprochen wurde: <http://tools.ietf.org/wg/pwe3/minutes>

p@rick

--
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Patrick Ben Koetter-2
* Patrick Ben Koetter <[hidden email]>:

> * Robert Schetterer <[hidden email]>:
> > Am 09.08.2013 23:47, schrieb Florian Streibelt:
> > > ie Verwendung von CAs dafür ist... naja... unpraktisch. Besser wäre da DNSSEC und ein fingerprint des keys im DNS - wenn man denn dnssec vertraut. *sigh*
> >
> > da ist was in Arbeit, ich hab grad nur keine url fuer den Patch parat
>
> Ich denke, Robert bezieht sich auf DANE, für das Viktor im Moment Code für
> Postfix entwickelt. Er hat auch einen RFC Draft eingereicht, der vorletzten
> Donnerstag in Berlin auf dem IETF-Treffen
> <https://datatracker.ietf.org/meeting/87/agenda/dane/> in einer Session
> besprochen wurde: <http://tools.ietf.org/wg/pwe3/minutes>

Sorry, hatten den falschen Link zu den minutes kopiert. Die minutes für DANE
scheinen mir nicht online zu sein. Stattdessen den Link auf das aktuell
gültige Draft von Viktor:
<http://tools.ietf.org/html/draft-dukhovni-dane-ops-01>

p@rick

--
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
In reply to this post by Robert Schetterer-2
Am 09.08.2013 14:30, schrieb Robert Schetterer:
> schau mal evtl
>
> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/

Woran erkenne ich denn nun ob auch tatsächlich verschlüsselt übertragen
wird?

Hieran?

Aug 11 08:01:31 server postfix/smtpd[6048]: setting up TLS connection
from indium.canonical.com[91.189.90.7]
Aug 11 08:01:32 server postfix/smtpd[6048]: Anonymous TLS connection
established from indium.canonical.com[91.189.90.7]: TLSv1 with cipher
AES256-SHA (256/256 bits)

_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Robert Schetterer-2
Am 11.08.2013 15:58, schrieb Jochen:

> Am 09.08.2013 14:30, schrieb Robert Schetterer:
>> schau mal evtl
>>
>> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/
>
> Woran erkenne ich denn nun ob auch tatsächlich verschlüsselt übertragen
> wird?
>
> Hieran?
>
> Aug 11 08:01:31 server postfix/smtpd[6048]: setting up TLS connection
> from indium.canonical.com[91.189.90.7]
> Aug 11 08:01:32 server postfix/smtpd[6048]: Anonymous TLS connection
> established from indium.canonical.com[91.189.90.7]: TLSv1 with cipher
> AES256-SHA (256/256 bits)

jo, das sieht schonmal gut aus

>
> _______________________________________________
> postfix-users mailing list
> [hidden email]
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
Am 11.08.2013 17:14, schrieb Robert Schetterer:

>> Aug 11 08:01:31 server postfix/smtpd[6048]: setting up TLS connection
>> from indium.canonical.com[91.189.90.7]
>> Aug 11 08:01:32 server postfix/smtpd[6048]: Anonymous TLS connection
>> established from indium.canonical.com[91.189.90.7]: TLSv1 with cipher
>> AES256-SHA (256/256 bits)
>
> jo, das sieht schonmal gut aus

Komisch ist nur, wenn ich Mails an web.de sende taucht sowas nicht auf. Nur:

Aug 11 16:41:38 server postfix/smtp[22163]: 6E3AA14A64: to=<[hidden email]>,
relay=mx-ha02.web.de[213.165.67.120]:25, delay=1.4,
delays=0.59/0.46/0.14/0.26, dsn=2.0.0, status=sent (250 Requested mail
action okay, completed: id=0MK0Cn-1V79vT1htF-001TFI)

Wollten die nicht jetzt auch TLS anbieten?
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Robert Schetterer-2
Am 11.08.2013 18:12, schrieb Jochen:

> Am 11.08.2013 17:14, schrieb Robert Schetterer:
>
>>> Aug 11 08:01:31 server postfix/smtpd[6048]: setting up TLS connection
>>> from indium.canonical.com[91.189.90.7]
>>> Aug 11 08:01:32 server postfix/smtpd[6048]: Anonymous TLS connection
>>> established from indium.canonical.com[91.189.90.7]: TLSv1 with cipher
>>> AES256-SHA (256/256 bits)
>>
>> jo, das sieht schonmal gut aus
>
> Komisch ist nur, wenn ich Mails an web.de sende taucht sowas nicht auf. Nur:
>
> Aug 11 16:41:38 server postfix/smtp[22163]: 6E3AA14A64: to=<[hidden email]>,
> relay=mx-ha02.web.de[213.165.67.120]:25, delay=1.4,
> delays=0.59/0.46/0.14/0.26, dsn=2.0.0, status=sent (250 Requested mail
> action okay, completed: id=0MK0Cn-1V79vT1htF-001TFI)
>
> Wollten die nicht jetzt auch TLS anbieten?
> _______________________________________________
> postfix-users mailing list
> [hidden email]
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>

ich hab mal nachgesehen fuer 213.165.67.120
sieht gut aus bei mir

Aug 11 17:43:54 mail02 postfix/smtp[27062]: Trusted TLS connection
established to mx-ha02.web.de[213.165.67.120]:25: TLSv1 with cipher
AES256-SHA (256/256 bits)

allerdings koennte der Mailserver auch hinter loadbalancer stehen
die wechselweise eben tls anbieten oder nicht

mach mal  grep 213.165.67.120 /var/log/mail.log etc
evtl hast du was uebersehen


hast du sowas in main.cf ?

smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
Am 11.08.2013 20:01, schrieb Robert Schetterer:
>
> smtp_tls_loglevel = 1
> smtp_tls_note_starttls_offer = yes

Das fehlte. Und auch das smtp_tls_security_level = may

Deshalb ging's nur inbound.

Sieht jetzt so aus:

Aug 11 20:42:46 server postfix/smtp[30881]: setting up TLS connection to
mx-ha03.web.de[213.165.67.104]:25
Aug 11 20:42:46 server postfix/smtp[30881]: certificate verification
failed for mx-ha03.web.de[213.165.67.104]:25: untrusted issuer
/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche
Telekom Root CA 2
Aug 11 20:42:46 server postfix/smtp[30881]: Untrusted TLS connection
established to mx-ha03.web.de[213.165.67.104]:25: TLSv1 with cipher
AES256-SHA (256/256 bits)

Jetzt fehlt mir wohl bloss noch ein Root-Zertifikat der Telekom.


--
Mit besten Grüßen
Jochen Fahrner
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
Am 11.08.2013 20:48, schrieb Jochen Fahrner:
> Jetzt fehlt mir wohl bloss noch ein Root-Zertifikat der Telekom.

Damit hab ich jetzt irgendwie Probleme. Ich hab mir das Root-Zertifikat
bei der Telekom runtergeladen und nach /etc/ssl/certs kopiert.
Dann c_rehash /etc/ssl/certs

In main.cf habe ich:
smtp_tls_CApath = /etc/ssl/certs

Aber es bleibt immer noch bei dem "Untrusted" :-(


--
Mit besten Grüßen
Jochen Fahrner
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
Am 11.08.2013 20:59, schrieb Jochen Fahrner:
> Aber es bleibt immer noch bei dem "Untrusted" :-(

Fehler gefunden. Der Postfix macht einen chroot nach /var/spool/postfix,
deswegen findet er meine Zertifikate nicht.

Lösung: cat /etc/ssl/certs/*.pem >
/var/spool/postfix/etc/ssl/certs/ca-certificates.crt

und dieses als CA-File eintragen.

Komischwerweise war die Datei schon vorhanden, mit Datum 30.7.2013.
Scheint so als würde irgendein cronjob die gelegentlich erneuern. Fragt
sich nur welcher, und wie? Nicht dass der meine manuell erzeugte Datei
wieder zerschiesst.

_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

Patrick Ben Koetter-2
* Jochen Fahrner <[hidden email]>:

> Am 11.08.2013 20:59, schrieb Jochen Fahrner:
> > Aber es bleibt immer noch bei dem "Untrusted" :-(
>
> Fehler gefunden. Der Postfix macht einen chroot nach /var/spool/postfix,
> deswegen findet er meine Zertifikate nicht.
>
> Lösung: cat /etc/ssl/certs/*.pem >
> /var/spool/postfix/etc/ssl/certs/ca-certificates.crt
>
> und dieses als CA-File eintragen.

Fehler gefunden, aber nicht ideal gelöst (wenn ich das anmerken darf).

Jetzt hast Du die Zertifikate in das chroot hineinkopiert. Da wären sie für
einen Angreifer erreichbar, wenn er denn über Postfix ins chroot käme. Der
Angreifer könnte die Certs manipulieren und Dir damit Schaden zufügen.

Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_
es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange
in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die
Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs
ins chroot zu legen.

> Komischwerweise war die Datei schon vorhanden, mit Datum 30.7.2013.

Ich würde sie rauskicken und die main.cf vorher auf ungewollte Referenzen
prüfen.

> Scheint so als würde irgendein cronjob die gelegentlich erneuern. Fragt
> sich nur welcher, und wie? Nicht dass der meine manuell erzeugte Datei
> wieder zerschiesst.

Vielleicht steht es da:

$ man update-ca-certificates

p@rick

--
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] TLS von MTA zu MTA

J. Fahrner
Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:
> Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
>
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
>
> Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_
> es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange
> in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die
> Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs
> ins chroot zu legen.

Offensichtllich nicht, siehe hier:

http://giantdorks.org/alain/fix-for-postfix-untrusted-certificate-tls-error/


--
Mit besten Grüßen
Jochen Fahrner
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
12