URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95862
[ Назад ]
Исходное сообщение
"Postfix, запрет обмена с серверами без валидных сертификатов"
Отправлено i.krouglyi , 13-Ноя-14 14:03 
Добрый день, коллеги

Вопрос спорный, сценарий использования тоже, поэтому нужна скидка на некоторую теоретическую его значимость.

Можно ли построить почтовый обмен таким образом, чтобы мой почтовый сервер на базе Postfix участвовал в обмене почтой только в том случае, если второй почтовый сервер, участвующий в обмене предоставил валидный сертификат (и для получения почты и для отправки почты)? Сейчас упираюсь в то, что мой сервер проверяет сертификат при отправке почты, а при приеме почты не проверяет.

Если да, то какая комбинация настроек это позволяет сделать?


Понятные ограничения - мой сервер должен верить (иметь в доверенных) корневым центрам сертификации, которые указаны в цепочках предложенных конечных сертификатов серверов, с которыми идет обмен.

Содержание
Сообщения в этом обсуждении
"Postfix, запрет обмена с серверами без валидных сертификатов"
Отправлено Алексей , 17-Ноя-14 00:43 
Для отсылки http://www.postfix.org/postconf.5.html#smtp_tls_security_level
Для получения http://www.postfix.org/postconf.5.html#smtpd_tls_security_level
"Postfix, запрет обмена с серверами без валидных сертификатов"
Отправлено i.krouglyi , 17-Ноя-14 12:41 
> Для отсылки http://www.postfix.org/postconf.5.html#smtp_tls_security_level
> Для получения http://www.postfix.org/postconf.5.html#smtpd_tls_security_level

Смущает
>Note 1: the "fingerprint", "verify" and "secure" levels are not supported here.
>Note 2: The parameter setting "smtpd_tls_security_level = encrypt" implies "smtpd_tls_auth_only = yes".

для smtpd_tls_security_level

По условиям задачи не подходит аутентификация пользователя по пользовательским сертификатам, нужна верификация сервера отправителя.