Re: ausschl. SSL-codierte Übertragung im LAN

To: debian-user-german@lists.debian.org
Subject: Re: ausschl. SSL-codierte Übertragung im LAN
From: Andreas Metzler <ametzler@downhill.at.eu.org>
Date: Thu, 06 Nov 2003 22:03:49 +0100
Message-id: <[🔎] E1AHrID-0002pd-EE@mid.downhill.at.eu.org>
Mail-followup-to: <debian-user-german@lists.debian.org>
References: <[🔎] 3FAA553A.1080906@engelbracht.de> <[🔎] 20031106193823.GQ2852@linau.de>

Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de> wrote:
> Thilo Engelbracht schrieb/wrote:
[...]
>> (Unverschlüsselt würde die Übertragung über Port 110 
>> laufen.) Der Port 995 ist mit iptables freigegeben.
>> Das Problem ist SMTP: Meiner Meinung nach läuft der SMTP-Dienst doch 
>> über Port 25 - sowohl verschlüsselt als auch unverschlüsselt...

> Ja, das duerfte daran liegen, dass TLS (Transport Layer Security)
> etwas anderes ist als SSL (Secure Socket Layer). Fuer mehr Info dazu
> reicht es bei mir allerdings auch nicht...

Die Terminologie passt nicht ganz, aber worauf du hinauswillst ist
nicht aufregend: Es gibt zwei Arten einen Dienst SSL/TLS zu schuetzen,
entweder man nimmt einen neuen Port (wie 995 statt 110) und handelt
sofort nach Verbindungsaufbau Verschluesselung aus oder man bleibt
beim normalen Port, der Klient verbindet sich wie gehabt im
Klartextmodus und sendet das Kommando STARTTLS, das dann erst
Verschluesselung anfordert. gnutls-cli kann beides.

>> Wenn ich Port 25 freigebe, kann auch eine unverschlüsselte
>> Kommunikation erfolgen!

> Das kommt auf die MTA-Konfiguration an...

>> Mit welchen Optionen kann ich erreichen, dass eine E-Mail-Kommunikation 
>> innerhalb des LAN _ausschließlich_ SSL-verschlüsselt abläuft?

> Gar nicht, da exim-tls TLS verwendet. ;-)

Exim (zumindest v4) kann auch das (nicht standardisierte tls-on-connect.

> Schau mal in die exim-Doku, speziell auf die Konfigurationsanweisungen
> mit "tls" im Namen.

Wie man das bei exim3 macht, weiss ich nicht, bei exim4 koennte

deny message TLS encrytion required
     condition ${if eq{$tls_cipher}{}{yes}{no}}

recht frueh in der RCPT ACL verwenden.

Das tut aber natuerlich was anderes als SSL-verschlüsselung erzwingen,
es verbietet vielmehr Klartext-Kommunikation.

>> b) In Verbindung mit a) und den Einstellungen

>>   host_accept_relay = 127.0.0.1 : ::::1 : 192.168.0.0/24
>                                     ^^ Das kann IMO raus.
[...]

Du meinst '::1' statt '::::1'? Nein, in Listen deren Eintraege durch
Doppelpunkte voneinander getrennt sind muss man die Doppelpunkt in den
Listeneintraegen doppelt angeben.

BTW erscheint mir das ganze Unterfangen fragwuerdig, was soll das
bringen?
            cu andreas

Reply to:

Follow-Ups:
- Re: ausschl. SSL-codierte Übertragung im LAN
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>

References:
- ausschl. SSL-codierte Übertragung im LAN
  - From: Thilo Engelbracht <info@engelbracht.de>
- Re: ausschl. SSL-codierte Übertragung im LAN
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>

Prev by Date: Re: Fileserver mit IDE-RAID oder SCSI-RAID
Next by Date: Re: ausschl. SSL-codierte Übertragung im LAN
Previous by thread: Re: ausschl. SSL-codierte Übertragung im LAN
Next by thread: Re: ausschl. SSL-codierte Übertragung im LAN
Index(es):
- Date
- Thread