[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ausschl. SSL-codierte Übertragung im LAN



Thilo Engelbracht schrieb/wrote:

> In meinem privaten Netzwerk läuft ein Linux-Server (Debian 3.0) und 
> mehrere M$-Clients.
> Der Linux-Rechner hat die IP-Adresse 192.168.0.1.
> Auf dem PC sind u.a. die Paket
> - exim-tls
> - fetchmail-ssl
> - ipopd-ssl
> installiert.
> 
> Nun habe ich noch folgende (Newbie-)Fragen:
> 
> a)
> Wenn die Clients per POP3 neue Nachrichten vom Server abholen, läuft das 
> über den Port 995.

Yup, das ist der Standardport fuer pop3s.

> (Unverschlüsselt würde die Übertragung über Port 110 
> laufen.) Der Port 995 ist mit iptables freigegeben.
> Das Problem ist SMTP: Meiner Meinung nach läuft der SMTP-Dienst doch 
> über Port 25 - sowohl verschlüsselt als auch unverschlüsselt...

Ja, das duerfte daran liegen, dass TLS (Transport Layer Security)
etwas anderes ist als SSL (Secure Socket Layer). Fuer mehr Info dazu
reicht es bei mir allerdings auch nicht...

> Wenn 
> ich Port 25 freigebe, kann auch eine unverschlüsselte Kommunikation 
> erfolgen!

Das kommt auf die MTA-Konfiguration an...

> Mit welchen Optionen kann ich erreichen, dass eine E-Mail-Kommunikation 
> innerhalb des LAN _ausschließlich_ SSL-verschlüsselt abläuft?

Gar nicht, da exim-tls TLS verwendet. ;-)
Schau mal in die exim-Doku, speziell auf die Konfigurationsanweisungen
mit "tls" im Namen.
 
> b) In Verbindung mit a) und den Einstellungen
> 
>   host_accept_relay = 127.0.0.1 : ::::1 : 192.168.0.0/24
                                     ^^ Das kann IMO raus.
>   und
>   local_interfaces = 127.0.0.1:192.168.0.1
> 
> in der "/etc/exim/exim.conf" müsste mein Linux-Server (der direkt per 
> DSL-Leitung am Internet hängt) eigentlich doch recht gut vor Spammern 
> geschützt sein. Oder? (Zusätzlich habe ich mit "iptables" einen 
> Portfilter aufgesetzt)

Du koenntest natuerlich noch Authenticated SMTP implementieren, so
dass sich die Clients zum Relayen mit Benutzernamen und Passwort
identifizieren muessen - dann wuerde auch die TLS-Geschichte erst
richtig Sinn machen...

Gruss,
Christian

-- 
Christian Schmidt | Germany 
PGP Key ID: 0x28266F2C
No HTML Mails, please!

Attachment: pgpYk7O3ofYo8.pgp
Description: PGP signature


Reply to: