[Postfixbuch-users] Mails über TLS an Relay übergeben

Frank Eisenblaetter feisenbl at gmx.de
Do Jan 10 20:06:37 CET 2008 

* Sandy Drobic <postfixbuch-users at japantest.homelinux.com> [080110 18:40]:
> > Hallo Liste,
> > 
> > ich betreibe postfix auf meinem VServer um die mails lokal anzunehmen
> > und an den Relayserver mail.gmx.net zu übergeben. Nun hätte ich gerne,
> > daß die Mail über eine verschlüsselte Verbindung beim gmx-Server
> > eingeliefert werden. Ich habe dazu im Postfixbuch den Parameter
> > smtp_use_tls gefunden, bekomme allerdings nachdem ich diesen auf yes
> > setzte immer wieder die Meldung:
> > 
> > certificate verification failed for mail.gmx.net
> > 
> > in der mail.log.
> > Soweit ich das verstehe muss ich postfix nun noch irgendwie
> > beibringen, daß er die Zertifikate unter /etc/ssl/certs benutzt um
> > das Zertifikat von mail.gmx.net zu verifizieren.
> > 
> > Wie bringe ich postfix dazu das gmx-Zertifikat zu verifizieren?
> 
> smtp_tls_CApath = /etc/ssl/certs
> 
> Stelle aber sicher, dass die Thawte-CA dabei ist:
> CN=Thawte Premium Server CA

Danke für die schnelle Antwort. Habe den obigen Parameter ergänzt und
bekomme nun folgende Fehlermeldung:

(Cannot start TLS: handshake failure)

Muss man für smtp auch noch ein cert_file und key_file angeben? Wenn
ja, kann mir jemand sagen was es mit dem in debian standardmäßig
angegebenen ssl-cert-snakeoil auf sich hat? Ist das ein automatisch
erzeugter key, den ich verwenden kann oder soll ich mir  auf jeden
Fall selbst einen erstellen?

Meine Konfiguration was TLS betrifft sieht derzeit wie folgt aus:

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

smtp_use_tls = yes
smtp_enforce_tls = yes
smtp_tls_CApath = /etc/ssl/certs


Gruß,
Frank

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080110/c2e0e5f2/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users