* Jochen Fahrner jf@fahrner.name:
Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:
Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_ es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs ins chroot zu legen.
Offensichtllich nicht, siehe hier:
http://giantdorks.org/alain/fix-for-postfix-untrusted-certificate-tls-error/
$ zless /usr/share/doc/postfix/TLS_README.gz
..
The $smtp_tls_CAfile contains the CA certificates of one or more trusted CAs. The file is opened (with root privileges) before Postfix enters the optional chroot jail and so need not be accessible from inside the chroot jail.
Probier es aus. Wenn es nicht stimmt, dann eröffne einen Bug-Report für LaMont Jones, den Debian Postfix Maintainer.
p@rick