* Jochen Fahrner jf@fahrner.name:
Am 11.08.2013 20:59, schrieb Jochen Fahrner:
Aber es bleibt immer noch bei dem "Untrusted" :-(
Fehler gefunden. Der Postfix macht einen chroot nach /var/spool/postfix, deswegen findet er meine Zertifikate nicht.
Lösung: cat /etc/ssl/certs/*.pem > /var/spool/postfix/etc/ssl/certs/ca-certificates.crt
und dieses als CA-File eintragen.
Fehler gefunden, aber nicht ideal gelöst (wenn ich das anmerken darf).
Jetzt hast Du die Zertifikate in das chroot hineinkopiert. Da wären sie für einen Angreifer erreichbar, wenn er denn über Postfix ins chroot käme. Der Angreifer könnte die Certs manipulieren und Dir damit Schaden zufügen.
Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_ es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs ins chroot zu legen.
Komischwerweise war die Datei schon vorhanden, mit Datum 30.7.2013.
Ich würde sie rauskicken und die main.cf vorher auf ungewollte Referenzen prüfen.
Scheint so als würde irgendein cronjob die gelegentlich erneuern. Fragt sich nur welcher, und wie? Nicht dass der meine manuell erzeugte Datei wieder zerschiesst.
Vielleicht steht es da:
$ man update-ca-certificates
p@rick