StartTLS für opportunistische Email Encryption mit Postfix

StartTLS for Opportunistic Email Encryption with Postfix
Copyright © By Adam Shostack
For original English text, go to: http://www.homeport.org/~adam/starttls.html

Viele, viele Seiten STARTTLS verwenden für die Verschlüsselung von lokalen E-Mail,
in der Regel so, dass sie Passwörter verstecken, wenn SMTP-Auth verwendet wird. Aber
StartTLS gibt Ihnen auch die Möglichkeit, opportunisticly verschlüsseln Mail als
es leitet über das Internet. Dieses Dokument stützt sich auf Patrick Koetter die STMTP / StartTLS
docs, und beginnt am Ende der Nr. 15, wo er sagt: “Das ist es. Ihre durchgeführt. Viel Spaß.

Lassen Sie mich sagen, ein wenig mehr über, wie cool das ist. Von dem Benutzer
Perspektive: Keine Passwörter. Keine öffentlichen Schlüsseln. Keine Fingerabdrücke. Es
grob funktioniert einfach. Das ist ein großer Gewinn. Heute verbrachte ich einen halben Tag
versucht, S / MIME zum Laufen zu bringen. Erstens, ich aufgerüstet mutt auf die neueste
Beta. Dann bin ich hängen geblieben, weil Verisign-Website funktioniert nicht mit
Netscape und Thawte die Website ist zurzeit im maitenance. In der Zwischenzeit zufällig
E-Mails von Menschen, die nie die Mühe hätte, dieses Zeug herauszufinden ist
immer verschlüsselt von ihrer Website zu mir. Und da laufe ich meiner Website,
das ist ungefähr die gleiche Vertrauen wie ich von PGP zu bekommen. Nicht ganz, aber viel
besser, als wenn die Menschen missbrauchen das Produkt.

Pre-Bedingungen: habe Postfix installiert und läuft. Haben StartTLS
gehen, wenn Postfix ist ein Server.

Post-Bedingungen: Postfix wird als STARTTLS-Client fungieren, Verschlüsselung
Mail, wenn die andere Seite TLS spricht.

Nun, dies ist wirklich einfach. Lassen Sie mich einfach bieten die relevanten
Bits meiner postfix main.cf:


smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtp_tls_key_file = / etc / postfix / certs / newreq.pem
smtp_tls_cert_file = / etc / postfix / certs / newcert.pem

smtpd_tls_session_cache_database = SDBM :/ etc / postfix / smtpd_scache

Jetzt sollten die ersten beiden Zeilen offensichtlich sein. Die erste Zeile bewirkt, dass wir
SMTP verwenden, wenn als Client fungiert, befindet sich das zweite stellt fest, dass
STARTTLS anbieten, für die aber ist es nicht aktiviert ist.

Die zweite beiden sind die gleichen Werte wie meine smtpd_tls_key_file
und smtpd_tls_cert_file . Sie sind nicht an der gleichen Stelle
wie M. Kötter stellte sie, aber das ist eine triviale Unterschied. Ich mag
das certs-Verzeichnis, weil sie die Dinge ordentlich hält.

Wenn alles wie geplant funktioniert hat, erhielt Ihre Mail-Header werden
besser werden, die so aussehen sollte:

 Received: from Alice
  (Unter Verwendung TLSv1 mit Cipher EDH-RSA-DES-CBC3-SHA (168/168 bits))
  (Kein Client-Zertifikat angefordert)
  von Bob (Postfix) with SMTP id CC7593008F
  für ;
  Mi, 2. Oktober 2002 15.20.39 -0400 (EDT)

Wenn alles nicht funktioniert wie geplant, schalten Sie Ihr Log-Levels.
Die Chancen stehen gut du bist schon gehandelt Mail mit Menschen mit
STARTTLS.

Und das ist es. Du bist fertig. Viel Spaß.


Warum?

Weil einige Menschen wollen bis lesen Ihr E-Mail. Andere nicht. Aber es sollte Ihre Wahl sein.

Ich möchte auch darauf aufmerksam machen,
Das Postfix / TLS-Website und Dokumentation für die Config-Datei, die ich hatte Probleme bei der Suche.


Adam Shostack

Comments are closed.