[Postfixbuch-users] Fragen zu TLS

Christian Schoepplein chris at schoeppi.net
Do Okt 28 23:20:58 CEST 2004 

Hi!

Ich hab mich mal an postfix mit TLS versucht. Mich machen da aber einige 
Meldungen aus dem Log stutig von denen ich nicht weiß, ob ich sie 
ignorieren kann oder nicht. Ich nutze keine offiziell signierten 
Zertifikate, den ganzen openssl-Kram habe ich nach der Anleitung aus dem 
1. Postfixbuch erstellt, also eigenes CA usw.

Erst mal sieht denke ich alles ganz gut aus:

Oct 28 22:20:37 as-6 postfix/smtpd[16459]: starting TLS engine
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: connect from pD9ECAC57.dip.t-dialin.net[217.236.172.87]
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: setting up TLS connection from pD9ECAC57.dip.t-dialin.net[217.236.172.87]
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:before/accept initialization

Bei folgenden Meldungen frage ich mich dann aber, ob sie deshalb zu 
Stande kommen, weil ich irgendwas beim Bauen der Zertifikate verkehrt 
gemacht habe:

Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv2/v3 read client hello A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv2/v3 read client hello B
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 read client hello A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write server hello A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write certificate A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write key exchange A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write certificate request A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv3 read client certificate A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv3 read client certificate A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: verify error:num=20:unable to get local issuer certificate
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: verify error:num=27:certificate not trusted

Schließlich dann aber:

Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write change cipher spec A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write finished A
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 flush data
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: TLS connection established from pD9ECAC57.dip.t-dialin.net[217.236.172.87]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Oct 28 22:20:37 as-6 postfix/smtpd[16459]: disconnect from pD9ECAC57.dip.t-dialin.net[217.236.172.87]

1. Sind diese Fehler normal wenn man selbst gebaute Zertifikate nutzt, 
   oder läuft da noch irgendwas grndlegend falsch? Eine verschlüsselte 
   Verbindung kommt doch letztlich zu Stande, oder?
2. Der Server mit den selbst gebauten Zertifikaten hängt im Netz und 
   empfängt Mails für einige Domains. Kann es wegen meiner eigneen 
   Zertifikaten zu irgendwelchen Problemen mit offiziellen Mailservern 
   kommen, die TLS beim Einliefern nutzen?

Ciao + THX,
Schöppi

-- 
Christian Schoepplein | Alles rund ums WEB: http://www.connectweb.de
chris at schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de

Mehr Informationen über die Mailingliste Postfixbuch-users