Christian Schmidt <[EMAIL PROTECTED]> wrote:
> Thilo Engelbracht schrieb/wrote:
[...]
>> (Unverschl�sselt w�rde die �bertragung �ber Port 110
>> laufen.) Der Port 995 ist mit iptables freigegeben.
>> Das Problem ist SMTP: Meiner Meinung nach l�uft der SMTP-Dienst doch
>> �ber Port 25 - sowohl verschl�sselt als auch unverschl�sselt...
> Ja, das duerfte daran liegen, dass TLS (Transport Layer Security)
> etwas anderes ist als SSL (Secure Socket Layer). Fuer mehr Info dazu
> reicht es bei mir allerdings auch nicht...
Die Terminologie passt nicht ganz, aber worauf du hinauswillst ist
nicht aufregend: Es gibt zwei Arten einen Dienst SSL/TLS zu schuetzen,
entweder man nimmt einen neuen Port (wie 995 statt 110) und handelt
sofort nach Verbindungsaufbau Verschluesselung aus oder man bleibt
beim normalen Port, der Klient verbindet sich wie gehabt im
Klartextmodus und sendet das Kommando STARTTLS, das dann erst
Verschluesselung anfordert. gnutls-cli kann beides.
>> Wenn ich Port 25 freigebe, kann auch eine unverschl�sselte
>> Kommunikation erfolgen!
> Das kommt auf die MTA-Konfiguration an...
>> Mit welchen Optionen kann ich erreichen, dass eine E-Mail-Kommunikation
>> innerhalb des LAN _ausschlie�lich_ SSL-verschl�sselt abl�uft?
> Gar nicht, da exim-tls TLS verwendet. ;-)
Exim (zumindest v4) kann auch das (nicht standardisierte tls-on-connect.
> Schau mal in die exim-Doku, speziell auf die Konfigurationsanweisungen
> mit "tls" im Namen.
Wie man das bei exim3 macht, weiss ich nicht, bei exim4 koennte
deny message TLS encrytion required
condition ${if eq{$tls_cipher}{}{yes}{no}}
recht frueh in der RCPT ACL verwenden.
Das tut aber natuerlich was anderes als SSL-verschl�sselung erzwingen,
es verbietet vielmehr Klartext-Kommunikation.
>> b) In Verbindung mit a) und den Einstellungen
>> host_accept_relay = 127.0.0.1 : ::::1 : 192.168.0.0/24
> ^^ Das kann IMO raus.
[...]
Du meinst '::1' statt '::::1'? Nein, in Listen deren Eintraege durch
Doppelpunkte voneinander getrennt sind muss man die Doppelpunkt in den
Listeneintraegen doppelt angeben.
BTW erscheint mir das ganze Unterfangen fragwuerdig, was soll das
bringen?
cu andreas
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
