Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:mail_c6_mta_8a [12.06.2012 12:23. ] – [Verversand - Test eMail] django | centos:mail_c6_mta_8a [20.04.2018 09:09. ] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== SSL/ | ||
+ | {{: | ||
+ | |||
+ | Neben der Client-Authentifizierung mit **Username** und **Passwort** kann sich ein Client auch mit einem X.509 Client-Zertifikat gegenüber unserem Postfix-Mailserver ausweisen. | ||
+ | ===== Voraussetzungen ===== | ||
+ | Hierzu sind zwei Voraussetzungen zu erfüllen: | ||
+ | - Postfix unterstützt generell SST/ | ||
+ | - Der Mailclient unterstützt **TLS-Certificate** bei der **Client-Authentifizierung** (Bei Thunderbird ist dies zum Beispiel kein Problem.) | ||
+ | |||
+ | ===== Konfiguration ===== | ||
+ | ==== Postfix ==== | ||
+ | Als erstes ermitteln wir den Fingerprint unseres Client-Certifikates. Hierzu können wir entweder die Zertifikatsverwaltung unseres Mailclients verwenden. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | |||
+ | Oder wir benitzen einfach den Befehl **openssl** aus dem gleichnamigen **rpm**. | ||
+ | $ openssl x509 -noout -fingerprint -in django.pem | ||
+ | |||
+ | SHA1 Fingerprint=33: | ||
+ | |||
+ | Diesen Fingerprint tragen wir nun in die Datei ** / | ||
+ | # vim / | ||
+ | |||
+ | <file bash / | ||
+ | </ | ||
+ | |||
+ | Anschließend erstellen wir das für die Konfigurationsdatei zugehörige Datenbankfile. | ||
+ | # postmap / | ||
+ | |||
+ | In der Konfigurationsdatei unseres Postfix-Mailservers tragen wir nun die die beiden Parameter **smtpd_tls_ask_ccert** und **relay_clientcerts** ein. | ||
+ | |||
+ | # vim / | ||
+ | <code bash># Django : 2012-06-11 | ||
+ | # Mit SSL/ | ||
+ | smtpd_tls_ask_ccert = yes | ||
+ | relay_clientcerts = btree:/ | ||
+ | </ | ||
+ | |||
+ | Zum Aktivieren der konfigurationsänderung starten wir nun unseren Mailserver einmal durch. | ||
+ | # service postfix restart | ||
+ | |||
+ | | ||
+ | | ||
+ | |||
+ | ==== Mailclient Thunderbird ==== | ||
+ | In unserem Mailclient hinterlegen wir, wenn noch nicht bereits bei der [[centos: | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Hier wählen wier den Menüpunkt **Zertifikate** aus. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Beim Menüpunkt **Importieren** laden wir nun unser Client-Zertifikat in die Zertifikatsverwaltung von Thunderbird. | ||
+ | |||
+ | Als nächstes wählen wir den Menüpunkt **Postausgangs-Server (SMTP)** aus. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Beim betreffenden Konto geben wir dann nur noch bei der **Verbindungssicherheit** **STARTTLS** an. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Versand - Test eMail ===== | ||
+ | Zum Testen unserer Konfigurationsänderung versenden wir einfach eine eMail mit Hilfe unseres Mailclients - hier in dem Beispeil **thunderbird** - über unseren Postfix Mailserver. | ||
+ | |||
+ | ==== Maillog ==== | ||
+ | Im Maillog unseres Servers wird uns die erfolgreiche Clientauthentifizierung entsprechend protokolliert. | ||
+ | |||
+ | | ||
+ | |||
+ | # tail -f / | ||
+ | |||
+ | < | ||
+ | Jun 11 22:41:19 vml000080 postfix/ | ||
+ | Jun 11 22:41:19 vml000080 postfix/ | ||
+ | Jun 11 22:41:19 vml000080 postfix/ | ||
+ | Jun 11 22:41:19 vml000080 postfix/ | ||
+ | Jun 11 22:41:19 vml000080 postfix/ | ||
+ | Jun 11 22:41:19 vml000080 postfix/ | ||
+ | Jun 11 22:41:20 vml000080 postfix/ | ||
+ | </ | ||
+ | |||
+ | ==== Mailheader ==== | ||
+ | Im Mailheader auf der Empfangsseite sehen wir auch, dass sich der Client | ||
+ | |||
+ | | ||
+ | |||
+ | < | ||
+ | Received: from murder ([192.168.8.180]) | ||
+ | by backend12 (Cyrus v2.2.12) with LMTPA; | ||
+ | Mon, 11 Jun 2012 22:41:25 +0200 | ||
+ | X-Sieve: CMU Sieve 2.2 | ||
+ | Received: from mail.m-online.net (localhost [127.0.0.1]) | ||
+ | by frontend1.mail.m-online.net (Cyrus v2.2.12) with LMTPA; | ||
+ | Mon, 11 Jun 2012 22:41:25 +0200 | ||
+ | Received: from scanner-2.m-online.net (scanner-2.mail.m-online.net [192.168.8.166]) | ||
+ | by mail.m-online.net (Postfix) with ESMTP id 3WB5jd60S3z4KK2s | ||
+ | for < | ||
+ | X-Virus-Scanned: | ||
+ | Received: from mx1.nausch.org (mx1.nausch.org [88.217.187.21]) | ||
+ | (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) | ||
+ | (No client certificate requested) | ||
+ | by mxin-2.m-online.net (Postfix) with ESMTPS id 3WB5jb4Lp0zfwhX | ||
+ | for < | ||
+ | Received: from localhost (vml000060.dmz.nausch.org [10.0.0.60]) | ||
+ | by mx1.nausch.org (Postfix) with ESMTP id A9CBD53 | ||
+ | for < | ||
+ | Received: from mx1.nausch.org ([10.0.0.80]) | ||
+ | by localhost (amavis.dmz.nausch.org [10.0.0.60]) (amavisd-new, | ||
+ | with ESMTP id Ma6cIPljzUpH for < | ||
+ | Mon, 11 Jun 2012 22:41:19 +0200 (CEST) | ||
+ | Received: from pml010051.nausch.org (unknown [192.168.10.45]) | ||
+ | (using TLSv1 with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits)) | ||
+ | (Client CN " | ||
+ | by mx1.nausch.org (Postfix) with ESMTPS | ||
+ | for < | ||
+ | Message-ID: < | ||
+ | Date: Mon, 11 Jun 2012 22:41:21 +0200 | ||
+ | From: Django < | ||
+ | User-Agent: Mozilla/5.0 (X11; Linux i686; rv:11.0) Gecko/ | ||
+ | MIME-Version: | ||
+ | To: django@mnet-mail.de | ||
+ | Subject: tls client auth | ||
+ | Content-Type: | ||
+ | Content-Transfer-Encoding: | ||
+ | |||
+ | und? gehts? | ||
+ | </ | ||
+ | |||
+ | ====== Links ====== | ||
+ | * **[[centos: | ||
+ | * **[[wiki: | ||
+ | * **[[http:// | ||
+ | |||