Postfix - Authenticated SMTP ZONDER ssl??

of je koopt voor 29 euro een certificaat. lijkt me ook de kosten niet

http://www.sslcertificaten.nl/

[ Voor 25% gewijzigd door Zwelgje op 22-04-2007 14:28 ]

Idd. Maar het voorkomt wel wat potentieel nasty problemen als iemand je wachtwoord snifft. En dat is heel makkelijk zonder ssl.

Als je het alleen voor 'eigen' gebruik is kan je natuurlijk je eigen certificaat toevoegen aan Windows. Dan zeurt 'ie [waarschijnlijk] niet meer.

Verder heeft Postfix SSL/TLS ook weinig met SMTP-Auth te maken. De enige optie die hiervoor relevant is, is smtpd_tls_auth_only, die je dan dus op 'no' moet zetten. Voor de rest staat het helemaal los van elkaar.

Spreekt natuurlijk voor zich dat je eigenlijk nog wel gewoon een certificaat wilt. Bij Thunderbird is het 1 keer kwestie van "Always accept" en het werkt zonder problemen. Bij ssl certificaten moet je altijd de hostname die gebruikt opgeven in je certificaat. Dus als je connect naar smtp.example.com, dan moet dat de common name in het certificaat zijn.

[ Voor 45% gewijzigd door DJ Buzzz op 22-04-2007 14:54 ]

SMTP-Auth kan binnen Postfix via SASL (http://www.postfix.org/SASL_README.html) en je kan daarbij de auth backend van bijv. Cyrus, Courier of Dovecot gebruiken en ook via SQL.

DIt staat, zoals Buzzz al vertelde, los van TLS/SSL (die alleen de verbinding zelf versleutelt).

Als je mail server virtueel.domain.nl heet moet je daar dus een certificaat voor aanvragen ja. De exacte naam die je invult voor waar je naar verbindt. De domeinnaam voor e-mail (@domein.nl) maakt daarbij niet uit.

Kijk eens op https://www.cacert.org/

Verwijderd schreef op zondag 22 april 2007 @ 14:52:
Ok, als er niets anders op zit. Wel heb ik nog een aansluitende vraag: mijn mailserver draait op virtueel.domein.nl en verstuurt mail namens gebruiker@domein.nl, moet ik dan een certificaat aanvragen voor domein.nl of virtueel.domein.nl?

Als je een gewoon certificaat wil hebben dan vraag je hem aan voor specifiek die mailserver (je gebruikt dan de fqdn van het ding). Als je voor diverse onderdelen van je domein een certificaat wil hebben dan kun je voor ieder onderdeel dus een apart certificaat afsluiten. Het kan ook gemakkelijker waarbij je dan een wildcart certificaat maakt, die kun je dan voor whatever onderdeel je maar hebt van je domein gebruik maken. Die laatste is dan ook duurder dan de eerste variant maar als je alles los moet gaan aanschaffen is zo'n wildcard certificaat uiteindelijk goedkoper. Voor alleen je mailserver is zo'n wildcard certificaat dus nogal prijzig en niet nodig.

Als je een certificaat neemt van bijv. CACert dan moet je er wel van bewust zijn dat het niet je probleem oplost met Outlook. Veel systemen hebben CACert en diverse anderen namelijk niet standaard in hun lijst staan, je zult het dus zelf moeten installeren. Als je iets neemt van bijv. een Thawte dan heb je daar geen last van maar dan ben je meteen ook wel meer geld kwijt.

Je kan met sendmail in ieder geval gebruikmaken van CRAM-MD5 en DIGEST-MD5 als beveiligde authenticatiemethodes. Beide methoden zijn op MD5 gebaseerde challenge-responsemethoden. Ik weet niet of dat ook met Postfix gaat.