Re: [postfix-users] TLS von MTA zu MTA

Am 11.08.2013 22:04, schrieb Patrick Ben Koetter:

Sicherer wäre es, wenn Du die Certs folgendermaßen lädst:

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Das geht genauso, denn Postfix liest dieses File in seinen Prozess ein _bevor_ es ins chroot wechselt. Dort sind sie dann in Memory verfügbar und nur solange in Reichweite eines Angreifers wie der Prozess selbst lebt. Postfix läßt die Prozesse regelmäßig sterben. Das ist prinzipbedingt sicherer, als die Certs ins chroot zu legen.

Offensichtllich nicht, siehe hier:

http://giantdorks.org/alain/fix-for-postfix-untrusted-certificate-tls-error/