[Postfixbuch-users] TLS Verbindung abgelehnt - Zertifikat kann nicht verifiziert werden
Patrick Ben Koetter
p at state-of-mind.de
Di Jun 21 15:39:49 CEST 2005
* Ties Dethlefs <dethlefs at schaefer-mafo.de>:
> Der Logauszug ist von meinem Mailserver.
> Gibt es eine Möglichkeit meinem Server beizubringen das er das
> Zertifikat des anderen nicht so genau prüft?
Auszug aus dem Buch "Postfix", das Ralf und ich im Herbst veröffentlichen
werden:
20.4.3.1.1. Selektives, clientseitiges TLS aktivieren
Sie aktivieren selektives, clientseitiges TLS allein dadurch, dass Sie Postfix
mit dem smtp_tls_per_site-Parameter auf eine Map, beispielsweise
/etc/postfix/tls_per_site verweisen, in der Sie entsprechende Regeln definiert
haben:
smtp_tls_per_site = hash:/etc/postfix/tls_per_site
20.4.3.1.2. Map mit Regeln für selektives TLS erstellen
Eine Map mit Regeln für selektives TLS gehorcht denselben Gesetzmäßigkeiten
wie alle anderen Postfix-Maps. Sie besteht aus zwei Spalten, key und value,
wobei Sie als key jeweils einen FQDN-Hostnamen oder eine Domain angeben und
als value eine der folgenden Aktionen:
NONE Setzen Sie diesen Wert, wird Postfix keine TLS-Verbindung zu diesem
Host aufbauen, selbst wenn er sie einfordert.
MAY Setzen Sie diesen Wert, wird Postfix versuchen eine TLS-gesicherte
SMTP-Verbindung aufzubauen. Ist dies nicht möglich, wird Postfix
versuchen eine unverschlüsselte Verbindung aufzubauen.
MUST Ist dieser Wert angegeben, wird der Postfix-smtp-Client in jedem Fall
versuchen eine TLS-Verbindung zu dem Server aufzubauen, wenn dieser
STARTTLS anbietet. Zusätzlich wird Postfix penibel darauf achten, dass
der FQDN-Hostname des Servers mit dem Common Name im Zertifikat
übereinstimmt.
MUST_NOPEERMATCH Dieser Wert stellt Ihnen eine abgeschwächte Version von
MUST zur Verfügung. Auch hier wird der Postfix-smtp-Client eine
TLS-Verbindung aufbauen wollen, aber er wird unterschiedliche Werte
für den FQDN-Hostname des Servers und den Common Name im Zertifikat
ignorieren.
Anmerkung
Die Einstellungen, die Sie mit smtp_tls_per_site an Postfix übergeben,
überstimmen immer die Grundeinstellung für clientseitiges TLS in Postfix. Wenn
Sie also clientseitiges TLS deaktivieren, aber mit smtp_tls_per_site auf eine
Map verweisen, wird Postfix die Vorgaben der Map nutzen.
Das Gegenteil gilt ebenfalls: Wenn Sie clientseitiges TLS in Postfix
aktivieren und Postfix findet in der mit smtp_tls_per_site angegebenen Map
keinen Eintrag für einen Server, wird es TLS trotzdem nutzen.
Eine Map mit selektiven Vorgaben für TLS könnte beispielsweise so aussehen:
dom.ain NONE
host.dom.ain MAY
important.host MUST
some.host.dom.ain MUST_NOPEERMATCH
Vergessen Sie nicht, diese Map mit dem postmap-Kommando zu konvertieren.
Viel Spaß,
p at rick
> Ich könnte einen Testserver mit einem nicht prüfbaren selbst erzeugten
> Zertifikat ausrüsten und testen ob mein Mailserver damit klar kommt.
>
> Mit freundlichen Grüßen
>
> Ties Dethlefs
>
>
> Patrick Ben Koetter schrieb:
>
> >* Ties Dethlefs <dethlefs at schaefer-mafo.de>:
> >
> >
> >>Hallo,
> >>
> >>TLS verschlüsselte Mails von einem bestimmten Provider an mich werden
> >>mit folgender Fehlermeldung abgelehnt:
> >>#####
> >>smtp[12720]: SSL_accept:SSLv3 flush data
> >>
> >>
> >
> >Das ist DEIN client "smtp", der sich beschwert und nicht der, des Providers
> >oder hat er Dir einen Log-Auszug zur Verfügung gestellt?
> >
> >Das sollten wir erst einmal klären, sonst sind alle Debug-Versuche umsonst.
> >
> >p at rick
> >
> >
> >
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users