chanscte schrieb am 20.11.2017 12:14:
1. SMTP mit Verschlüsselung. Ich meine damit nicht den Versand vom MUA zum MTA über Port 587. Der kann weiterhin verschlüsselt stattfinden, weil ich die Stammzertifikate ja installiert habe. Für den Kommunikationsweg MTA zu MTA kann ich nun aber keine Verschlüsselung mehr anbieten. Der empfangene MTA kennt meine Stammzertifikate nicht und lehnt die Verbindung entsprechend ab. Meine Lösung: Keine Verschlüsselung mehr auf Port 25 anbieten. Jemand eine bessere Idee?
Das ist eigentlich falsches verhalten. Die Verschlüsselung von MTA zu MTA dient dazu, daß Dritte nicht mitlesen können. Und nicht der Authentifizierung der Endpunkte. Entsprechend sollte, wenn die Authentifizierung über die Zertifikate scheitert (aus welchen Gründen auch immer) trotzdem verschlüsselt werden (Opportunistic Encryption). Natürlich hindert dich nichts dran, die gescheiterte Zertifikatsprüfung des Partners in den Spamscore einfließen zu lassen.
Ich bin übrigens erstaunt: Gerade bei SMTP werden massenhaft selbstsignierte Zertifikate benutzt. Degradest du die alle auf unencrypted?
2. Codesignierung. Komme ich irgendwie drum herum, nur dafür ein "echtes" Zertifikat erwerben zu müssen, damit z.B. Windows meine Software als vertrauenswürdig anerkennt? Bei Comodo hat so ein Zertifikat vor ein paar Jahren schlappe 150€ im Jahr gekostet. Das wäre mir viel zu teuer. Könnte ich meine eigenen Stammzertifikate hierfür auch irgendwo manuell installieren, oder kann das nur Microsoft?
Kannst du selbst. Zertifikatsspeicher der Maschine (und nicht des Nutzers), dort "Vertrauenswürdige Herausgeber" - und dort rein das Zertifikat des Signierenden. Wenn du eine Windows-PKI nutzt muß noch der Verwendungszweck stimmen (Codesignatur) und du solltest das zugehörige CA-Zertifikat installiert haben. Geht nebenbei alles über Gruppenrichtlinien in Domänen..