Kategorien
Computer Gruntle

Mailserver TLS-Verbindung Zertifikate Pinning

Die Mails meines Mailservers gehen zum Teil über eine gesicherte TLS-Verbindung. Für einige Mailserver habe ich in Postfix eine Art „Zertifikat-Pinning“ aktivert. Das geht mit einer Policy Map (Option smtp_tls_policy_maps in der main.cfg). Dort wird dann für die gewünschten Mailhosts der Fingerprint des Zertifikates hinterlegt mit der Option „match“.

Den passenden Fingerprint generiert man sich mit dem folgenden OpenSSL-Befehl:

openssl x509 -noout -fingerprint -sha1 -in cert.pem

Wobei dann das Zertifikat des Mailservers in der Datei cert.pem liegen muss und der eingestellte Hash-Algorithmus zu stimmen hat. Das Zertifikat sollte man sich auf sicherem Wege holen. Beispielsweise auf dem Zielserver einloggen und den folgenden OpenSSL-Befehl nutzen und dann das Zertifikat herauskopieren:

openssl s_client -connect mail.zielserver.com:25 -starttls smtp

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert