Exim TLS erzwingen! Machbar?

gammla

Member
Hallo!
Ich habe, wie in einem anderen Thread beschrieben, EXIM erfolgreich eingerichtet TLS zu unterstützen.

Gibt es eine Möglichkeit TLS zu erzwingen?

z.B. das alle User Mails nur mit einer TLS Verbindung verschicken können?

Das hätte den Vorteil, dass die Logindaten nie wieder in Klartext oder in Base64 übertragen werden können.

Wäre das überhaupt eine sinnvolle Maßnahem?
Voraussetzung hierfür wäre, dass die MUAs alle TLS unterstützen.


Gruß,

Gammla
 
Hallo!
Danke für den Hinweis! Das war genau der richtige Link!

Ich lege also in der exim.conf folgendes fest:

Code:
tls_verify_hosts = *

Somit müssen alle Hosts die relayen wollen, das Zertifikat haben, dass unter folgendem Pfad liegt.

Code:
tls_verify_certificates = /etc/exim/server2.crt

Hierbei handelt es sich ebenfalls um das Zertifikat, das auch für die Verschlüsselung der TLS Verbindung nach einem STARTTLS verwendet wird.

Wie gesagt, möchte ich erzwingen, dass TLS verwendet wird.

Wenn ich auf diese Weise eine Mail verschicken möchte bekomme ich im exim.log folgende Fehler:

Code:
2008-06-02 18:07:15 [14130] no MAIL in SMTP connection from dslb-088-076-038-031.pools.arcor-ip.net ([192.168.1.34]) [88.76.38.31]:56823 I=[85.214.128.18]:25 D=4s C=EHLO,STARTTLS
2008-06-02 18:07:15 [14130] SMTP connection from dslb-088-076-038-031.pools.arcor-ip.net ([192.168.1.34]) [88.76.38.31]:56823 I=[85.214.128.18]:25 closed by EOF
2008-06-02 18:07:15 [14130] TLS error on connection from dslb-088-076-038-031.pools.arcor-ip.net ([192.168.1.34]) [88.76.38.31]:56823 (SSL_accept): error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
2008-06-02 18:07:11 [14130] ident connection to 88.76.38.31 timed out

Wenn ich mir versuche die Fehlermeldung zu erklären, würde ich sagen, dass Thunderbird das Zertifikat nicht hat und somit auch keins zurück geben kann!

Mein nächster Schritt war es das Zertifikat zu "installieren". Ich habe mir den Inhalt des Zertifikats in einen Texteditor geladen und unter server2.crt abgespeichert.

Dies funktioniert komischerweise nur unter dem Reiter "Webseiten".

Muss ich für solche Aktionen vielleicht mehr als ein selbst signiertes Zertifikat zur Verfügung stellen. Vielleicht sogar eine CA die ich "Importieren" muss?

Wie macht ihr das?

Gruß,

Gammla
 
Back
Top