Am 12.08.2013 08:47, schrieb Jochen Fahrner:
Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
Ok, hab ich gemacht. Gruppe sasl fehlte auch.
Eins ist aber immer noch merkwürdig: Bei Mails zu web.de ist die Verbindung jetzt "Trusted" und ich sehe auch welches Root-CA benötigt wurde.
Zu den meisten anderen ist die Verbindung jedoch nur "untrusted" und es fehlt auch die Angabe des Root-CA. Kann das sein dass die Mehrzahl nur selfsigned Zertifikate besitzt?
Und auch seltsam: zu GMX bekomme ich outbound ein "Trusted", inbound aber nur "untrusted". Ist da bei mir noch was schief, oder bei GMX?
die Frage ist letztendlich wie wichtig ist dir trusted und untrusted
ssl crts koennen selbst gemacht sein oder sich aendern, willst du immer ( oder mehr ) trusted haben musst du im Zweifel die crts deiner Verbindungspartner importieren, distros liefern eher selten updates in dieser Hinsicht, der entscheidente Punkt ist aber letztendlich dass eben verschluesselt uebertragen wird, es ist deine Entscheidung welchen weiteren Level an Sicherheit du noch anwenden moechtest, bei "may" wird verschluesselt wenn beide Partner es anbieten, dabei ist es erstmal egal ob das crt "trusted" ist oder nicht, das ist fuer den normalen Alltag normalerweise ausreichend, willst du zusaetzlich zu bestimmten domains garantiert nur verschluesselt uebertragen nutze den Parameter
smtp_tls_policy_maps
http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-p...
Das Ssl System setzt ja auf "Notare" die sozusagen die Identitaet versichern, die Frage heut zu Tage ist "glaubt" man den Notaren ist man paranoid wird man dies wohl mittlerweile verneinen deshalb ist ein selbst erstelltes crt erstmal auch in Ordnung, aus meiner Sicht ist vor allem eben wichtig das eine Verschluesselung stattfindet wenn moeglich.
insgesammt nicht ganz trivial das Thema ich hoffe ich habe so richtig wiedergegeben
Best Regards MfG Robert Schetterer