[Eisfair] E1: Umstellung auf SSL-Mail

Juergen Edner juergen at eisfair.org
Sa Nov 30 10:03:43 CET 2013 

Hallo Marcus,

>> Hast Du exim mit SMARTHOST_FORCE_TLS yes laufen?

nachdem hier die Diskussion um das Setzen des Parameters aufgekommen
war, habe ich gestern für meinen Provider diesen Parameter auch einmal
gesetzt.
Generell ist es zwar so, dass Exim, falls von der Gegenseite angeboten,
eine verschlüsselte Verbindung aufbaut, aber dies eben nicht erzwungen
wird. D.h. es findet gegebenenfalls ein Fallback auf eine
unverschlüsselte Verbindung statt.

> Ist die Frage, ob das überhaupt notwendig ist.

Wird der Parameter SMARTHOST_FORCE_TLS='yes' gesetzt, so versucht Exim
grundsätzlich auch die Zertifikatswiderrufsliste (CRL) des Zertifikats-
ausstellers zu prüfen um sicher zu stellen, dass das Zertifikat nicht
zwischenzeitlich ungültig geworden ist.
Dadurch wurde bei mir als Resultat natürlich erst einmal die Meldung
"SSL verify error: depth=0 error=unable to get certificate CRL ..."
ausgegeben, da eine lokale Kopie der CRL auf dem lokalen Rechner
erwartet wird.

Wie kommt diese CRL nun auf den lokalen Rechner?

Ganz einfach, nachdem man das Serverzertifikat im Zertifikatsverzeichnis
gespeichert hat, aktualisiert man mittels des folgenden Befehls die
URL-Liste der CRLs (Das Skript liest aus den lokalen Zertifikatskopien
die CRL URLs aus und speichert sie in einer Liste):

  /var/install/bin/certs-update-crl -grepuri

Anschließend aktiviert man die regelmäßige Hintergrundaktualisierung der
CRLs durch setzen von CERTS_CRL_CRON='yes'. Dadurch wird regelmäßig
der folgende Befehl ausgeführt, welcher die CRLS im Verzeichnis
/usr/local/ssl/crl aktualisiert.

  /var/install/bin/certs-update-crl -quiet

Achtung: Es wird mindestens das certs-paket v1.2.7 benötigt, da darin
         ein Fehler beim Kopieren der CRLs behoben wurde.

> Auch ohne irgendwelche speziellen Einstellungen nutzt exim eine
> ssl-Verbindung (smtp). (laut exim Doku)

Korrekt.

> Wäre damit der Umstellung von gmx und Co nicht schon längst genüge getan?

Dies hängt davon ab, ob Du vom E-Mail Abruf oder Versand sprichst,
welche tcp-Ports der Provider zukünftig verwendet für POP3S, IMAPS,
SMTPS oder SSMTP oder ob STARTTLS über z.B. den Port 25/tcp angeboten
wird. Beim E-Mail Versand könnte es vermutlich ohne großes Zutun
funktionieren.

> Ob der lokale Client das von gmx und Co übertragene Zertifikat prüft, kann
> der externe Server doch garnicht sehen.

Korrekt, dies liegt in der Verantwortung des Klienten.
> 
> Wäre auf Dauer dennoch schön zu wissen, wie das mit den Zertifikaten geht.
> 
> Bei fetchmail ist das natürlich anders, aber das macht jaauch keine
> Probleme: Fingerprint in die Config rein und ab.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair