SMTP TLS und selbstsigniertes Zertifikat

T

tsk

Member
Ich übe gerade die zeitgemäße Einrichtung eines Mail Servers auf einem virtuellen (KVM) Trusty Server. Sobald ich damit zufrieden bin, soll er live gehen, und 4-5 Wordpress Blogs hosten. Ein rein privates Projekt, welches mit selbstsignierten Zertifikaten arbeiten soll. Alle ssl-User sind mir persönlich bekannt - und deshalb auch bereit, mein CA zu importieren. Was bleibt, ist die Frage, wie fremde MTA mit meinem selbstsigniertem Zertifikat umgehen.

Sie könnten:

a) SMTP TLS "geräuschlos" akzeptieren, weil es immer noch besser ist, als unverschlüsselt zu arbeiten
b) TLS verweigern, aber die Mail unverschlüsselt akzeptieren
c) Alles verweigern
d) Die Mail als Spam abwerten

Gibt es hier Erfahrungen?

Die zweite Frage betrifft den Werkzeugkasten: Ich plane Postfix, Dovecot, MySQL, Clam AV, amavis, SpamAssassin, Postgrey, SPF/DKIM. Zur Administration postfixadmin auf verrammelter Subdomain, die nur bei Bedarf aktiviert wird.

Wäre diese Ausstattung ok, oder gäbe es hier Verbesserungspotential?
 
Ich hatte bislang keine Probleme mit selbstsignierten Zertifikaten für SMTP.
Ausgehende Mails sind bei all den externen Mailservern, die auch über SSL/TLS Mails annehmen, problemlos über TLS angenommen worden.

Mailserver nehmen oft auch Verbindungen auf, wenn das Zertifkat einen unbekannten Aussteller hat solange es zum Server passt.
 
Dieser Thread könnte für dich interessant sein:

Postfix Spamfilter

Ich wollte mal von Den Experten und Euch wissen wir Ihr die Spamfilterung handhabt? Mal kurz aufgelistet was ich bis jetzt gemacht habe. Mein System Ubuntu 14.04 mit ISPConfig, Postfix, Postgrey, Amavis, Spamassassin, Dovcot und Sieve In Postfix ist noch DKIM und SPF Auswertung...
serversupportforum.de serversupportforum.de

Mit der Kombination Postfix + Dovecot habe ich gute Erfahrungen gemacht.
SPF/DKIM ist auf jeden Fall sinnvoll.

PTR nicht vergessen:
http://de.wikipedia.org/wiki/PTR_Resource_Record

Ich habe keinen Bedarf für Postfixadmin. Hört sich für mich nur an wie eine weitere Angriffsfläche.
 
Hallo kancu,

wow, der Thread ist tatsächlich aufschlussreich. Speziell Beitrag 7. Danke dafür.

postfixadmin ist purer Komfort. Ich arbeite ohne Admin Oberfläche, und bemühe mich bei den wenigen Tools um maximale Sicherheit. Soll heissen: Kritische Dinge (phpmyadmin, postfixadmin, Serverzustand) liegen auf einer eigenen Management Subdomain (ssl-only, Basic Auth), die nur bei tatsächlichem Bedarf über ein Script aktiviert wird. php läuft als fcgid mit suexec. An dieser Stelle mache ich mir also keine großen Sorgen.

Grüße,

Thomas
 
Einige der "postscreen"-Tests haben aber einen kleinen Nachteil.

"Tests after the 220 SMTP server greeting"
Important note: these protocol tests are disabled by default. They are more intrusive than the pregreet and DNSBL tests, and they have limitations as discussed next.

The main limitation of "after 220 greeting" tests is that a new client must disconnect after passing these tests (reason: postscreen is not a proxy). Then the client must reconnect from the same IP address before it can deliver mail.
Click to expand...

Dazu gehört z.B. der "Non-SMTP command test".

http://www.postfix.org/POSTSCREEN_README.html
https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_3

Vielleicht hat Joe User ja Erfahrung damit inwiefern sich das in der Praxis auswirkt.
 
Ja, wäre interessant zu wissen. Wird aber vielleicht an der grundsätzlichen Empfehlung nix ändern, auf Viren- und Spamschutz zu verzichten.

Eine Frage habe ich noch zu meinen selbstsignierten Zertifikaten. Auf Client-Seite ist alles klar. Man importiert mein CA, und das Gemecker hat ein Ende. Bon.

Auf Server-Seite dient dafür:

Code: 
ssl_ca = </etc/ssl/certs/ca-bundle.crt (dovecot)
smtpd_tls_CAfile=/etc/ssl/certs/ca-bundle.crt (postfix)

Aber da komme ich mit meiner Feld-Wald-und-Wiesen-CA natürlich nicht rein. Kommentiert man es hier einfach aus, oder gibt's eine andere Möglichkeit, auf die eigene CA zu verweisen?
 
Eigentlich müsstest du doch mindestens zwei Dateien haben.

Einmal den öffentlichen und den privaten Schlüssel.

Das wären bei Postfix diese beiden Einstellungen:
Code: 
smtpd_tls_cert_file
smtpd_tls_key_file
Das erste ist der öffentliche Schlüssel und das zweite der private Schlüssel.

Bei Dovecot:
Code: 
ssl_cert
ssl_key
 
Ja klar, die habe ich. Die Frage war nur, ob ich auch noch das Zertifikat meiner eigenen CA in irgend einer Form aufführen muss.
 
kancu said:
Einige der "postscreen"-Tests haben aber einen kleinen Nachteil.

[snip]

Vielleicht hat Joe User ja Erfahrung damit inwiefern sich das in der Praxis auswirkt.
Click to expand...
Es ist in der Praxis unproblematischer als Greylisting.
Bisher ist mir kein legitimer Mailserver aufgefallen der damit nicht klarkommt, was gemäss der für SMTP zuständigen RFCs auch nicht weiter verwundert.


BTW: postscreen muss auch in der master.cf aktiviert werden, nicht vergessen ;)
 
You must log in or register to reply here.
Back
Top