[Postfixbuch-users] TLS loggt nicht mehr...

Clemens Gogolin c.gogolin at cynox.net
Mi Mär 1 22:30:18 CET 2006


Danke für die erste Hilfe:

Also erst hab ich mal das ausprobiert:

| # openssl s_client -starttls smtp -connect localhost:25
|
| CONNECTED(00000003)
| depth=0 /C=DE/ST=Deutschland | 
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/C 
 
N=mail.cynox.net/emailAddress=webmaster at cynox.net
| verify error:num=18:self signed certificate
| verify return:1
| depth=0 /C=DE/ST=Deutschland | 
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/C 
 
N=mail.cynox.net/emailAddress=webmaster at cynox.net
| verify return:1
| ---
| Certificate chain
|  0 s:/C=DE/ST=Deutschland | 
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/CN=m 
 
ail.cynox.net/emailAddress=webmaster at cynox.net
|    i:/C=DE/ST=Deutschland | 
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/CN=m 
 
ail.cynox.net/emailAddress=webmaster at cynox.net
| ---
| Server certificate
| -----BEGIN CERTIFICATE-----
| MIICyzCCAjQCCQC3tFIuLxjRXzANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMC
| REUxHjAcBgNVBAgUFURldXRzY2hsYW5kIHwgR2VybWFueTEVMBMGA1UEBxMMQnJh
| dW5zY2h3ZWlnMRIwEAYDVQQKEwljeW5veC5uZXQxEjAQBgNVBAsTCWN5bm94Lm5l
| dDEXMBUGA1UEAxMObWFpbC5jeW5veC5uZXQxIjAgBgkqhkiG9w0BCQEWE3dlYm1h
| c3RlckBjeW5veC5uZXQwHhcNMDUwNDAyMjMwOTQ4WhcNMTQxMjMxMjMwOTQ4WjCB
| qTELMAkGA1UEBhMCREUxHjAcBgNVBAgUFURldXRzY2hsYW5kIHwgR2VybWFueTEV
| MBMGA1UEBxMMQnJhdW5zY2h3ZWlnMRIwEAYDVQQKEwljeW5veC5uZXQxEjAQBgNV
| BAsTCWN5bm94Lm5ldDEXMBUGA1UEAxMObWFpbC5jeW5veC5uZXQxIjAgBgkqhkiG
| 9w0BCQEWE3dlYm1hc3RlckBjeW5veC5uZXQwgZ8wDQYJKoZIhvcNAQEBBQADgY0A
| MIGJAoGBAKlmsFKxTsufJ8+G6iAYprmdA2OOqvVVgf+z8M+LR9fRWKMRAYUSPmHF
| lUPIO90A9pcpZFoyXjSI1U2QvwxUJWYS4Z4KW289KxBgu4VaOoHcpcb8Xwlp1ZG8
| FcVOucKRooYmlZeiEZUhVWxDo8e6x8YFlZ8OmnncIUdCCWmsijeNAgMBAAEwDQYJ
| KoZIhvcNAQEEBQADgYEAUYgoLB+/tO9TrNn1l2t9yHx2vlhB241vZY7boDUGjiVd
| iH69DM5PZwNGPJT7GnIMtf5AZv0BSOnDCP/37GCptDz4+id4KzTbq9nuz7BbkjMU
| 9PsHGuRUVDN/HOvHiFC57/3j1BpDosAJCMkscdZpAxfv+1P8Odhv8IfHbkGJLiw=
| -----END CERTIFICATE-----
| subject=/C=DE/ST=Deutschland | 
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/C 
 
N=mail.cynox.net/emailAddress=webmaster at cynox.net
| issuer=/C=DE/ST=Deutschland | 
Germany/L=Braunschweig/O=cynox.net/OU=cynox.net/CN 
 
=mail.cynox.net/emailAddress=webmaster at cynox.net
| ---
| No client certificate CA names sent
| ---
| SSL handshake has read 1341 bytes and written 350 bytes
| ---
| New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
| Server public key is 1024 bit
| SSL-Session:
|     Protocol  : TLSv1
|     Cipher    : DHE-RSA-AES256-SHA
|     Session-ID: 
2ACDB9404901FD95682DFC9EAD9A39B81C2379BEA298E09A025F8AC368FFA016
|     Session-ID-ctx:
|     Master-Key: 
25E8ADD9C1A2DB0591EAE82A0D1CC1B276B8D8D4DB1482EB906F1AFAEA4FDC42 
 
F5BD3338FAEC4971DA96D270DA570C6E
|     Key-Arg   : None
|     Start Time: 1141247155
|     Timeout   : 300 (sec)
|     Verify return code: 18 (self signed certificate)
| ---
| 220 mail.cynox.net ESMTP Postfix
|

sieht doch gut aus? Oder?

Dann das hier:
| # ldd /usr/lib/postfix/smtpd
|         libpostfix-master.so.1 => /usr/lib/libpostfix-master.so.1 
(0xb7ee7000)
|         libpostfix-global.so.1 => /usr/lib/libpostfix-global.so.1 
(0xb7ec2000)
|         libpostfix-dns.so.1 => /usr/lib/libpostfix-dns.so.1 (0xb7ebe000)
|         libpostfix-util.so.1 => /usr/lib/libpostfix-util.so.1 (0xb7e9a000)
|         libssl.so.0.9.7 => /usr/lib/i686/cmov/libssl.so.0.9.7 (0xb7e69000)
|         libcrypto.so.0.9.7 => /usr/lib/i686/cmov/libcrypto.so.0.9.7 
(0xb7d6a000)
|         libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7d55000)
|         libdb-4.2.so => /usr/lib/libdb-4.2.so (0xb7c7e000)
|         libnsl.so.1 => /lib/tls/libnsl.so.1 (0xb7c6a000)
|         libresolv.so.2 => /lib/tls/libresolv.so.2 (0xb7c58000)
|         libgdbm_compat.so.3 => /usr/lib/libgdbm_compat.so.3 (0xb7c55000)
|         libc.so.6 => /lib/tls/libc.so.6 (0xb7b20000)
|         libdl.so.2 => /lib/tls/libdl.so.2 (0xb7b1d000)
|         libgdbm.so.3 => /usr/lib/libgdbm.so.3 (0xb7b16000)
|         /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0xb7ef2000)

- Damit kann ich leider gar nix anfangen... normalerweise nehme ich 
apt... und der kümmert sich um die richtigen Pakete.

Womit sich diese Frage schon beantwortet...
 > Hast du eine selbst kompilierte Version von Postfix oder die Standard 
 > aus
 > der Distro?
Ja - mag die fertigen Pakete von der Stange lieber... hat bis immer gut 
geklappt ;-)


so und dann kommt der ganz große Brocken mit

|  ./postfinger
| postfinger - postfix configuration on Wed Mar  1 22:17:37 CET 2006
| version: 1.30
|
| Warning: postfinger output may show private configuration information,
| such as ip addresses and/or domain names which you do not want to show
| to the public.  If this is the case it is your responsibility to modify
| the output to hide this private information.  [Remove this warning with
| the --nowarn option.]
|
| --System Parameters--
| mail_version = 2.1.5
| hostname = debian31m
| uname = Linux debian31m 2.6.14.2 #5 Mon Nov 21 16:18:18 CET 2005 i686 
GNU/Linux
|
| --Packaging information--
| No packages found matching diversion.
| No packages found matching by.
| No packages found matching from.
| looks like this postfix comes from deb package: diversion by 
postfix-tls from-2.1.5-9
|
| --main.cf non-default parameters-- m *AUSZUG*
| smtpd_sasl_auth_enable = yes
| smtpd_sender_login_maps = mysql:/etc/postfix/sender-login.mysql
| smtpd_tls_CAfile = /etc/postfix/cert/cert.pem
| smtpd_tls_cert_file = /etc/postfix/cert/cert.pem
| smtpd_tls_key_file = /etc/postfix/cert/key.pem
| smtpd_tls_loglevel = 4
| smtpd_tls_received_header = yes
| smtpd_use_tls = yes
| smtp_tls_loglevel = 4
|
| --master.cf--
| smtp      inet  n       -       n       -       -       smtpd
| pickup    fifo  n       -       -       60      1       pickup
| cleanup   unix  n       -       -       -       0       cleanup
| qmgr      fifo  n       -       -       300     1       qmgr
| rewrite   unix  -       -       -       -       -       trivial-rewrite
| bounce    unix  -       -       -       -       0       bounce
| defer     unix  -       -       -       -       0       bounce
| flush     unix  n       -       -       1000?   0       flush
| proxymap  unix  -       -       n       -       -       proxymap
| smtp      unix  -       -       -       -       -       smtp
| relay     unix  -       -       -       -       -       smtp
| showq     unix  n       -       -       -       -       showq
| error     unix  -       -       -       -       -       error
| local     unix  -       n       n       -       -       local
| virtual   unix  -       n       n       -       -       virtual
| lmtp      unix  -       -       n       -       -       lmtp
| maildrop  unix  -       n       n       -       -       pipe
|   flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
| ifmail    unix  -       n       n       -       -       pipe
|   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
| bsmtp     unix  -       n       n       -       -       pipe
|   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop 
-f$sender $recipient
| scalemail-backend unix  -       n       n       -       2       pipe
|   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store 
${nexthop} ${user} ${extension}
| tlsmgr    fifo  -       -       n       300     1       tlsmgr
| smtps     inet  n       -       n       -       -       smtpd -o 
smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
| trace     unix  -       -       -       -       0       bounce
| verify    unix  -       -       -       -       1       verify
|
| -- end of postfinger output --

Was ich sehr seltsam finde sind die Zeilen:

No packages found matching diversion.
No packages found matching by.
No packages found matching from.
looks like this postfix comes from deb package: diversion by postfix-tls 
from-2.1.5-9

Diese habe ich auch (oder so ähnlich als ich "apt-get install 
--reinstall postfix-tls" aufrief) bekommen... diversion??? by ??? und 
from???

Das verstehe ich nicht...

Bitte um hilfe...

Clemens



Sandy Drobic schrieb:
> Clemens Gogolin wrote:
>> Hallo,
>>
>> Ich kann den Zeitpunkt leider nicht genau sagen (das macht die Suche so 
>> schwer), aber seit einiger Zeit ist mein TLS ausgefallen. (DebianSarge).
> 
> Dann würde ich mal überlegen, welche Systemänderungen seit dem letzten 
> bekannten Funktionieren geschehen sind, incl. Updates von Systembibliotheken.
> 
>> Thunderbird spuckt die Fehlermeldung raus:
>> ... kann kein Kontakt aufnehmen, das TLS nicht in Verbindung mit EHLO 
>> unterstützt wird. ...
> 
> Ha??
> 
>> Also hab ich mal in die Logs rein gesehen:
>>
>> Das steht einfach:
>> Mar  1 19:37:16 localhost postfix/smtpd[3748]: starting TLS engine
>> Mar  1 19:37:16 localhost postfix/smtpd[3748]: connect from 
>> dslc-082-082-163-241.pools.arcor-ip.net[82.82.163.241]
>> Mar  1 19:37:18 localhost postfix/smtpd[3748]: lost connection after 
>> EHLO from dslc-082-082-163-241.pools.arcor-ip.net[82.82.163.241]
>> Mar  1 19:37:18 localhost postfix/smtpd[3748]: disconnect from 
>> dslc-082-082-163-241.pools.arcor-ip.net[82.82.163.241]
>>
>> mein LogLevel ist aber
>> # postconf |grep level
>> debug_peer_level = 2
>> smtp_tls_loglevel = 4
>> smtpd_tls_logleve = 4
> 
> Jause! Da geht's aber ab im Log, wenn tatsächlich was passiert.
> 
>> Wenn ich via Telnet mich einlogge, meldet Postfix zwar er kann STARTTLS. 
>> wenn ich das aber eingebe, passiert nix!
> 
> Logisch, du musst dann ja auch den gesamten Parametertausch manuell 
> nachvollziehen. Überlasse das doch openssl, das kann das etwas besser.
> 
> openssl s_client -starttls smtp -connect localhost:25
> 
> Was passiert dann?
> 
> Suche mal lieber in den Logs, wann es denn das letzte mal geklappt hatte 
> und überlege, was in der Zwischenzeit an Patchen und Umkonfigurationen 
> geschehen ist.
> 
> 
> Was sagt denn ldd /usr/local/lib/postfix/smtpd (oder wo auch immer Postfix 
> ist bei dir)?
> 
> Sandy
> 




Mehr Informationen über die Mailingliste Postfixbuch-users