[Postfixbuch-users] systemzertifizierung.de
Patrick Ben Koetter
p at state-of-mind.de
Mo Apr 11 00:34:45 CEST 2005
* Jim Knuth <jk at jkart.de>:
>
> so. Nochmal mit systemzertifizierung.de
>
> Virus free. Checked by NOD32 Version 1.1054 Update 10.04.2005
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: setting up TLS connection from systemzertifizierung.de[217.160.176.93]
systemzertifizierung.de hat STARTTLS an den Server gesendet.
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: SSL_accept:before/accept initialization
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: read from 080C2820 [080CBE20] (11 bytes => -1 (0xFFFFFFFF))
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: SSL_accept:error in SSLv2/v3 read client hello A
Wenn ich das richtig deute, dann mag der client das cert des Servers nicht.
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: 00c0 31 24 30 22 06 03 55 04|03 13 1b 6d 61 69 6c 2e 1$0"..U. ...mail.
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: 00d0 73 65 72 76 65 72 31 2e|61 72 74 2d 64 6f 6d 61 server1. art-doma
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: 00e0 69 6e 73 2e 64 65 31 28|30 26 06 09 2a 86 48 86 ins.de1( 0&..*.H.
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: 00f0 f7 0d 01 09 01 16 19 68|6f 73 74 6d 61 73 74 65 .......h ostmaste
> Apr 10 22:11:41 server1 postfix/smtpd[3427]: 0100 72 40 61 72 74 2d 64 6f|6d 61 69 6e 73 2e 64 65 r at art-do mains.de
Das cert, das Dein Server ausgibt, nennt als CN mail.server1.art-domains.de.
Ich spiel jetzt mal ein wenig mit dig...
[p at server p]$ dig -t mx art-domains.de +short
10 mail.art-domains.de.
Der primary MX der Domain art-domains.de ist also mail.art-domains.de.
[p at server p]$ dig -t A mail.art-domains.de +short
195.137.212.66
Seine IP ist 195.137.212.66.
[p at server p]$ dig -t A mail.server1.art-domains.de +short
195.137.212.66
Die IP des mail.server1.art-domains.de ist auch 195.137.212.66.
Sehen wir doch mal nach, welche CN der Primary MX nennt, wenn er denn STARTTLS
anbietet...
$ openssl s_client -starttls smtp -CAfile /usr/share/ssl/certs/ca-bundle.crt -connect mail.art-domains.de:25
CONNECTED(00000003)
depth=1 /C=DE/ST=SA/L=Dessau/O=ARTdomains/CN=mail.server1.art-domains.de/emailAddress=hostmaster at art-domains.de
verify error:num=19:self signed certificate in certificate chain
verify return:0
verify schlägt fehl!
---
Certificate chain
0 s:/C=DE/ST=SA/L=Dessau/O=ARTdomains/OU=ISP/CN=mail.server1.art-domains.de/emailAddress=hostmaster at art-domains.de
i:/C=DE/ST=SA/L=Dessau/O=ARTdomains/CN=mail.server1.art-domains.de/emailAddress=hostmaster at art-domains.de
1 s:/C=DE/ST=SA/L=Dessau/O=ARTdomains/CN=mail.server1.art-domains.de/emailAddress=hostmaster at art-domains.de
i:/C=DE/ST=SA/L=Dessau/O=ARTdomains/CN=mail.server1.art-domains.de/emailAddress=hostmaster at art-domains.de
---
Der Server, der unter mail.art-domains.de erreichbar ist, behauptet plötzlich,
er sei mail.server1.art-domains.de!
Also...
laut RFC MUSS der DNS Name des Servers mit dem CN des Zertifikates identisch
sein. Nur so kann der client verifizieren, das der Server sich richtig
identifiziert.
Es kann also gut sein, das der client von systemzertifizierung.de so
konfiguriert ist, das er Verbindungen ablehnt, wenn er die Identität des
Servers nicht verifizieren kann.
Lösung: Bau Dir ein Zertifikat, das als CN den DNS Namen Deines Servers trägt.
Ich bin mir fast sicher, das systemzertifizierung.de dann mit Deinem Server
reden wird.
p at rick
--
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users