Postfix: Erzwingen von TLS für eingehende Mails

Mit den folgenden Einstellungen kann man erzwingen, dass Mails von einer bestimmten Domain immer mit TLS eingeliefert werden müssen:

Postfix Konfiguration

In /etc/postfix/main.cf:

smtpd_recipient_restrictions = [...]
    check_ccert_access hash:/etc/postfix/ssl_certs,
    check_sender_access hash:/etc/postfix/ssl_certs,
    [...]
smtpd_tls_XXX
smtpd_tls_ask_ccert = yes

check_ccert_access ist verfügbar mit Postfix 2.2 und neuer (zum Beispiel bei Suse Linux 10.1 standardmässig dabei). Die verschiedenen smtpd_tls_XXX-Einstellungen sind hier ausführlich dargelegt.

Zertifikate für Domains

In /etc/postfix/ssl_certs:

example.com    REJECT    Only TLS connection allowed from example.com
00:11:22:33:44:55:66:77:88:99:AA:BB:CC:DD:EE:FF OK

Die erste Zeile würde normalerweise dazu führen, dass Mails von example.com abgewiesen werden (REJECT). In der zweiten Zeile wird hingegen durch den MD5 Fingerprint des Zertifikats das Mail angenommen (OK). Normalerweise würde man die REJECTs und die OKs in separaten Dateien aufführen, die über check_ccert_access und check_sender_access separat angesprochen werden, aber für kleinere Mailserver ist es wohl akzeptabel, das in einer einzigen Datei zu führen.

Den Fingerprint erhält man mit

openssl x509 -in mail.example.com.pem -noout -md5 -fingerprint

Datenpflege

Man muss hier für alle (erwünschten) Mailserver einer Domain den Fingerprint des Zertifikats eintragen. Wenn die absendende Domain Wildcard-Namen im Zertifikat hat (“CN=*.example.com”) wird die Pflege entsprechend einfacher — jeder Mailserver einer Domain kann dann mit dem gleichen Server Zertifikat daher kommen.

Dieses Feature skaliert relativ schlecht, sofern man nicht einen Netzwerkeffekt ausnutzen kann (zum Beispiel Austausch von Zertifikaten über einen Verband o.ä.).

In jedem Fall sollte man REJECTs aufgrund von erzwungenem TLS genau beobachten, etwa durch regelmässige Kontrolle der Logfiles.