[Postfixbuch-users] TLS loggt nicht mehr...
Clemens Gogolin
c.gogolin at cynox.net
Mi Mär 1 22:30:18 CET 2006
Danke für die erste Hilfe:
Also erst hab ich mal das ausprobiert:
| # openssl s_client -starttls smtp -connect localhost:25
|
| CONNECTED(00000003)
| depth=0 /C=DE/ST=Deutschland |
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/C
N=mail.cynox.net/emailAddress=webmaster at cynox.net
| verify error:num=18:self signed certificate
| verify return:1
| depth=0 /C=DE/ST=Deutschland |
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/C
N=mail.cynox.net/emailAddress=webmaster at cynox.net
| verify return:1
| ---
| Certificate chain
| 0 s:/C=DE/ST=Deutschland |
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/CN=m
ail.cynox.net/emailAddress=webmaster at cynox.net
| i:/C=DE/ST=Deutschland |
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/CN=m
ail.cynox.net/emailAddress=webmaster at cynox.net
| ---
| Server certificate
| -----BEGIN CERTIFICATE-----
| MIICyzCCAjQCCQC3tFIuLxjRXzANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMC
| REUxHjAcBgNVBAgUFURldXRzY2hsYW5kIHwgR2VybWFueTEVMBMGA1UEBxMMQnJh
| dW5zY2h3ZWlnMRIwEAYDVQQKEwljeW5veC5uZXQxEjAQBgNVBAsTCWN5bm94Lm5l
| dDEXMBUGA1UEAxMObWFpbC5jeW5veC5uZXQxIjAgBgkqhkiG9w0BCQEWE3dlYm1h
| c3RlckBjeW5veC5uZXQwHhcNMDUwNDAyMjMwOTQ4WhcNMTQxMjMxMjMwOTQ4WjCB
| qTELMAkGA1UEBhMCREUxHjAcBgNVBAgUFURldXRzY2hsYW5kIHwgR2VybWFueTEV
| MBMGA1UEBxMMQnJhdW5zY2h3ZWlnMRIwEAYDVQQKEwljeW5veC5uZXQxEjAQBgNV
| BAsTCWN5bm94Lm5ldDEXMBUGA1UEAxMObWFpbC5jeW5veC5uZXQxIjAgBgkqhkiG
| 9w0BCQEWE3dlYm1hc3RlckBjeW5veC5uZXQwgZ8wDQYJKoZIhvcNAQEBBQADgY0A
| MIGJAoGBAKlmsFKxTsufJ8+G6iAYprmdA2OOqvVVgf+z8M+LR9fRWKMRAYUSPmHF
| lUPIO90A9pcpZFoyXjSI1U2QvwxUJWYS4Z4KW289KxBgu4VaOoHcpcb8Xwlp1ZG8
| FcVOucKRooYmlZeiEZUhVWxDo8e6x8YFlZ8OmnncIUdCCWmsijeNAgMBAAEwDQYJ
| KoZIhvcNAQEEBQADgYEAUYgoLB+/tO9TrNn1l2t9yHx2vlhB241vZY7boDUGjiVd
| iH69DM5PZwNGPJT7GnIMtf5AZv0BSOnDCP/37GCptDz4+id4KzTbq9nuz7BbkjMU
| 9PsHGuRUVDN/HOvHiFC57/3j1BpDosAJCMkscdZpAxfv+1P8Odhv8IfHbkGJLiw=
| -----END CERTIFICATE-----
| subject=/C=DE/ST=Deutschland |
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/C
N=mail.cynox.net/emailAddress=webmaster at cynox.net
| issuer=/C=DE/ST=Deutschland |
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/CN
=mail.cynox.net/emailAddress=webmaster at cynox.net
| ---
| No client certificate CA names sent
| ---
| SSL handshake has read 1341 bytes and written 350 bytes
| ---
| New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
| Server public key is 1024 bit
| SSL-Session:
| Protocol : TLSv1
| Cipher : DHE-RSA-AES256-SHA
| Session-ID:
2ACDB9404901FD95682DFC9EAD9A39B81C2379BEA298E09A025F8AC368FFA016
| Session-ID-ctx:
| Master-Key:
25E8ADD9C1A2DB0591EAE82A0D1CC1B276B8D8D4DB1482EB906F1AFAEA4FDC42
F5BD3338FAEC4971DA96D270DA570C6E
| Key-Arg : None
| Start Time: 1141247155
| Timeout : 300 (sec)
| Verify return code: 18 (self signed certificate)
| ---
| 220 mail.cynox.net ESMTP Postfix
|
sieht doch gut aus? Oder?
Dann das hier:
| # ldd /usr/lib/postfix/smtpd
| libpostfix-master.so.1 => /usr/lib/libpostfix-master.so.1
(0xb7ee7000)
| libpostfix-global.so.1 => /usr/lib/libpostfix-global.so.1
(0xb7ec2000)
| libpostfix-dns.so.1 => /usr/lib/libpostfix-dns.so.1 (0xb7ebe000)
| libpostfix-util.so.1 => /usr/lib/libpostfix-util.so.1 (0xb7e9a000)
| libssl.so.0.9.7 => /usr/lib/i686/cmov/libssl.so.0.9.7 (0xb7e69000)
| libcrypto.so.0.9.7 => /usr/lib/i686/cmov/libcrypto.so.0.9.7
(0xb7d6a000)
| libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7d55000)
| libdb-4.2.so => /usr/lib/libdb-4.2.so (0xb7c7e000)
| libnsl.so.1 => /lib/tls/libnsl.so.1 (0xb7c6a000)
| libresolv.so.2 => /lib/tls/libresolv.so.2 (0xb7c58000)
| libgdbm_compat.so.3 => /usr/lib/libgdbm_compat.so.3 (0xb7c55000)
| libc.so.6 => /lib/tls/libc.so.6 (0xb7b20000)
| libdl.so.2 => /lib/tls/libdl.so.2 (0xb7b1d000)
| libgdbm.so.3 => /usr/lib/libgdbm.so.3 (0xb7b16000)
| /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0xb7ef2000)
- Damit kann ich leider gar nix anfangen... normalerweise nehme ich
apt... und der kümmert sich um die richtigen Pakete.
Womit sich diese Frage schon beantwortet...
> Hast du eine selbst kompilierte Version von Postfix oder die Standard
> aus
> der Distro?
Ja - mag die fertigen Pakete von der Stange lieber... hat bis immer gut
geklappt ;-)
so und dann kommt der ganz große Brocken mit
| ./postfinger
| postfinger - postfix configuration on Wed Mar 1 22:17:37 CET 2006
| version: 1.30
|
| Warning: postfinger output may show private configuration information,
| such as ip addresses and/or domain names which you do not want to show
| to the public. If this is the case it is your responsibility to modify
| the output to hide this private information. [Remove this warning with
| the --nowarn option.]
|
| --System Parameters--
| mail_version = 2.1.5
| hostname = debian31m
| uname = Linux debian31m 2.6.14.2 #5 Mon Nov 21 16:18:18 CET 2005 i686
GNU/Linux
|
| --Packaging information--
| No packages found matching diversion.
| No packages found matching by.
| No packages found matching from.
| looks like this postfix comes from deb package: diversion by
postfix-tls from-2.1.5-9
|
| --main.cf non-default parameters-- m *AUSZUG*
| smtpd_sasl_auth_enable = yes
| smtpd_sender_login_maps = mysql:/etc/postfix/sender-login.mysql
| smtpd_tls_CAfile = /etc/postfix/cert/cert.pem
| smtpd_tls_cert_file = /etc/postfix/cert/cert.pem
| smtpd_tls_key_file = /etc/postfix/cert/key.pem
| smtpd_tls_loglevel = 4
| smtpd_tls_received_header = yes
| smtpd_use_tls = yes
| smtp_tls_loglevel = 4
|
| --master.cf--
| smtp inet n - n - - smtpd
| pickup fifo n - - 60 1 pickup
| cleanup unix n - - - 0 cleanup
| qmgr fifo n - - 300 1 qmgr
| rewrite unix - - - - - trivial-rewrite
| bounce unix - - - - 0 bounce
| defer unix - - - - 0 bounce
| flush unix n - - 1000? 0 flush
| proxymap unix - - n - - proxymap
| smtp unix - - - - - smtp
| relay unix - - - - - smtp
| showq unix n - - - - showq
| error unix - - - - - error
| local unix - n n - - local
| virtual unix - n n - - virtual
| lmtp unix - - n - - lmtp
| maildrop unix - n n - - pipe
| flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
| ifmail unix - n n - - pipe
| flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
| bsmtp unix - n n - - pipe
| flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop
-f$sender $recipient
| scalemail-backend unix - n n - 2 pipe
| flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
${nexthop} ${user} ${extension}
| tlsmgr fifo - - n 300 1 tlsmgr
| smtps inet n - n - - smtpd -o
smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
| trace unix - - - - 0 bounce
| verify unix - - - - 1 verify
|
| -- end of postfinger output --
Was ich sehr seltsam finde sind die Zeilen:
No packages found matching diversion.
No packages found matching by.
No packages found matching from.
looks like this postfix comes from deb package: diversion by postfix-tls
from-2.1.5-9
Diese habe ich auch (oder so ähnlich als ich "apt-get install
--reinstall postfix-tls" aufrief) bekommen... diversion??? by ??? und
from???
Das verstehe ich nicht...
Bitte um hilfe...
Clemens
Sandy Drobic schrieb:
> Clemens Gogolin wrote:
>> Hallo,
>>
>> Ich kann den Zeitpunkt leider nicht genau sagen (das macht die Suche so
>> schwer), aber seit einiger Zeit ist mein TLS ausgefallen. (DebianSarge).
>
> Dann würde ich mal überlegen, welche Systemänderungen seit dem letzten
> bekannten Funktionieren geschehen sind, incl. Updates von Systembibliotheken.
>
>> Thunderbird spuckt die Fehlermeldung raus:
>> ... kann kein Kontakt aufnehmen, das TLS nicht in Verbindung mit EHLO
>> unterstützt wird. ...
>
> Ha??
>
>> Also hab ich mal in die Logs rein gesehen:
>>
>> Das steht einfach:
>> Mar 1 19:37:16 localhost postfix/smtpd[3748]: starting TLS engine
>> Mar 1 19:37:16 localhost postfix/smtpd[3748]: connect from
>> dslc-082-082-163-241.pools.arcor-ip.net[82.82.163.241]
>> Mar 1 19:37:18 localhost postfix/smtpd[3748]: lost connection after
>> EHLO from dslc-082-082-163-241.pools.arcor-ip.net[82.82.163.241]
>> Mar 1 19:37:18 localhost postfix/smtpd[3748]: disconnect from
>> dslc-082-082-163-241.pools.arcor-ip.net[82.82.163.241]
>>
>> mein LogLevel ist aber
>> # postconf |grep level
>> debug_peer_level = 2
>> smtp_tls_loglevel = 4
>> smtpd_tls_logleve = 4
>
> Jause! Da geht's aber ab im Log, wenn tatsächlich was passiert.
>
>> Wenn ich via Telnet mich einlogge, meldet Postfix zwar er kann STARTTLS.
>> wenn ich das aber eingebe, passiert nix!
>
> Logisch, du musst dann ja auch den gesamten Parametertausch manuell
> nachvollziehen. Überlasse das doch openssl, das kann das etwas besser.
>
> openssl s_client -starttls smtp -connect localhost:25
>
> Was passiert dann?
>
> Suche mal lieber in den Logs, wann es denn das letzte mal geklappt hatte
> und überlege, was in der Zwischenzeit an Patchen und Umkonfigurationen
> geschehen ist.
>
>
> Was sagt denn ldd /usr/local/lib/postfix/smtpd (oder wo auch immer Postfix
> ist bei dir)?
>
> Sandy
>
Mehr Informationen über die Mailingliste Postfixbuch-users