[Postfixbuch-users] TLS Verbindung abgelehnt - Zertifikat kann nicht verifiziert werden

[Ties Dethlefs]

Ich habe mal eine Mail von meinem Testserver an meinen Produktiven 
Mailserver geschickt und habe folgendes im Log des Testservers gefunden:

smtp[31593]: initializing the client-side TLS engine
smtp[31593]: setting up TLS connection to mail.schaefer-mafo.de
smtp[31593]: SSL_connect:before/connect initialization
smtp[31593]: SSL_connect:SSLv2/v3 write client hello A
smtp[31593]: SSL_connect:error in SSLv2/v3 read server hello A
smtp[31593]: SSL_connect:error in SSLv3 read server hello A
smtp[31593]: SSL_connect:error in SSLv3 read server hello A
smtp[31593]: SSL_connect:SSLv3 read server hello A
smtp[31593]: SSL_connect:error in SSLv3 read server certificate A
smtp[31593]: SSL_connect:error in SSLv3 read server certificate A
smtp[31593]: SSL_connect:error in SSLv3 read server certificate A
smtp[31593]: certificate verification depth=1 subject=/C=BE/O=GlobalSign 
nv-sa/OU=ServerSign CA/CN=GlobalSign ServerSign CA
smtp[31593]: certificate verification failed for mail.schaefer-mafo.de: 
num=20:unable to get local issuer certificate
smtp[31593]: verify return: 0
smtp[31593]: certificate verification depth=1 subject=/C=BE/O=GlobalSign 
nv-sa/OU=ServerSign CA/CN=GlobalSign ServerSign CA
smtp[31593]: certificate verification failed for mail.schaefer-mafo.de: 
num=27:certificate not trusted
smtp[31593]: verify return: 0
smtp[31593]: certificate verification depth=0 
subject=/C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung 
GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de
smtp[31593]: verify return: 1
smtp[31593]: SSL_connect:SSLv3 read server certificate A
smtp[31593]: SSL_connect:error in SSLv3 read server key exchange A
smtp[31593]: SSL_connect:error in SSLv3 read server key exchange A
smtp[31593]: SSL_connect:SSLv3 read server key exchange A
smtp[31593]: SSL_connect:error in SSLv3 read server certificate request A
smtp[31593]: SSL_connect:error in SSLv3 read server certificate request A
smtp[31593]: SSL_connect:SSLv3 read server done A
smtp[31593]: SSL_connect:SSLv3 write client key exchange A
smtp[31593]: SSL_connect:SSLv3 write change cipher spec A
smtp[31593]: SSL_connect:SSLv3 write finished A
smtp[31593]: SSL_connect:SSLv3 flush data
smtp[31593]: SSL_connect:error in SSLv3 read finished A
smtp[31593]: SSL_connect:error in SSLv3 read finished A
smtp[31593]: SSL_connect:error in SSLv3 read finished A
smtp[31593]: SSL_connect:error in SSLv3 read finished A
smtp[31593]: SSL_connect:SSLv3 read finished A
smtp[31593]: Unverified: subject_CN=mail.schaefer-mafo.de, 
issuer=GlobalSign ServerSign CA
smtp[31593]: TLS connection established to mail.schaefer-mafo.de: TLSv1 
with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)
smtp[31593]: Server certificate could not be verified

Die Mail kam trotzdem an. Bei diesem Versuch waren die Zertifikate des 
Testservers identisch mit denen des aktuellen Mailservers. 
Erstaunlicherweise hat es auch geklappt wenn ich völlig unsinnige 
Zertifikate auf dem Testserver installiert hatte.
Das deutet ja doch eher darauf hin das mit den Zertifikaten auf meinem 
Mailserver etwas nicht stimmt. :-(

Mit freundlichen Grüßen

Ties Dethlefs


Patrick Ben Koetter schrieb:

>* Ties Dethlefs <dethlefs at schaefer-mafo.de>:
>  
>
>>Der Logauszug ist von meinem Mailserver.
>>Gibt es eine Möglichkeit meinem Server beizubringen das er das 
>>Zertifikat des anderen nicht so genau prüft?
>>    
>>
>
>Auszug aus dem Buch "Postfix", das Ralf und ich im Herbst veröffentlichen
>werden:
>  
>