Ergebnis 1 bis 2 von 2

Thema: exim4 und TLS

  1. #1
    Kunde
    Registriert seit
    26.07.2008
    Beiträge
    4

    Hinweis/Information exim4 und TLS

    domainfactory schreibt: zum Versand von emails über SLL solle man smtprelaypool.ispgateway.de port 465 benutzen.

    Gemeint ist, daß sie dort smtps anbieten. smtps ist allerdings veraltet und wird von exim4 nicht unterstützt, der Versuch mit exim4 direkt über smtprelaypool.ispgateway.de:465 zu versenden scheitert daher. Wer das partout machen möchte muß mit stunnel einen SSL-Tunnel aufbauen und darüber versenden.

    exim4 unterstütz allerdings das neuere TLS mittels StartTLS. Erfreulicherweise bieten sowohl smtprelaypool.ispgateway.de als auch smtp.[eigene-domain] auf dem Standardport 25 StartTLS an. Zumindest auf Debian-Lenny wird das von exim4 auch genutzt wenn es angeboten wird, so daß die smtp-Verbindung automatisch verschlüsselt ist.

    Um zu verhindern, daß exim4 im Falle, daß der Server StartTLS mal nicht anbietet auf unverschlüsseltes smtp zurückfällt muß man eine hosts_require_tls-Zeile in den Transport einfügen die die smtp-server auflistet (durch „:“ getrennt).

    hosts_require_tls = smtprelaypool.ispgateway.de : smtp.[eigene-domain]

    Auf Debian-Lenny mit normaler dpkg-configure mit split-file-Konfiguration und „mail sent by smarthost“ ist das in

    /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost

    danach ein „dpkg-reconfigure exim4-config“ durchlaufen damit die config neu gebaut wird.

  2. #2
    Kunde
    Registriert seit
    26.07.2008
    Beiträge
    4

    Hinweis/Information exim4 und TLS (2)

    Schutz gegen man-in-the-middle.

    Das erzwingen einer TLS-Verbindung hilft bereits gegen Angreifer die das STARTTLS-Angebot des Servers überschreiben¹ oder entfernen.

    Möchte man sich gegen man-in-the-middle Angriffe schützen, muß man exim dazu zwingen nicht nur verschlüsselt zu versenden, sonder auch das Zertifikat des smtp-Server zu überprüfen. Dazu muß man im transport „tls_verify_certificates“ auf eine Datei mit (CA-) Zertifikaten setzen. Unter Debian liegt eine solche Datei in /etc/ssl/certs/ca-certificates.crt wo sie vom Paket ca-certificates verwaltet wird und das nötige CA-Zertifikat bereits enthält, somit lautet der Eintrag:

    tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt

    Auf Debian-Lenny mit split-file-Konfiguration und „mail sent by smarthost“ ist das wiederum in

    /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp_smarthost

    __________
    ¹ siehe hierzu: http://blog.fefe.de/?ts=bd1cf9c9

Ähnliche Themen

  1. "535 Auth Failure" beim Versand mit Exim4
    Von Hans-Peter im Forum Fragen rund um E-Mail
    Antworten: 9
    Letzter Beitrag: 28.03.2009, 09:53
  2. SMTP-Auth und TLS mit Qmail
    Von dfkunde im Forum Fragen rund um E-Mail
    Antworten: 1
    Letzter Beitrag: 29.08.2003, 17:57
  3. TLS und Postfix
    Von 007Sascha im Forum Gesuche
    Antworten: 5
    Letzter Beitrag: 06.07.2003, 20:16
  4. TLS und Postfix
    Von 007Sascha im Forum Fragen rund um E-Mail
    Antworten: 1
    Letzter Beitrag: 06.07.2003, 11:41

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •