[Postfixbuch-users] SMTP-Auth mit STARTTLS scheitert

Markus Hohlmeier markus at hohlmeier.de
Do Aug 23 09:42:35 CEST 2012


Hallo,

> auf meinem Debian 6 Server habe ich Postfix soweit eingerichtet, dass
> alle Dienste unverschlüsselt einwandfrei arbeiten. Nun wollte ich
> TLS-Unterstützung hinzufügen und bin nach der Anleitung im Buch
> vorgegangen (vorerst nur für STMP, IMAP/POP3 kommt noch).
> Jedenfalls scheitert der Versand - Postfix spuckt eine Warnung im
> mail.log aus (gesamter Log hier http://pastebin.com/NDP6FYNE ), die
> relevanten Warnungen:
>
> Aug 23 00:33:31 sname postfix/smtpd[8395]: SSL3 alert read:fatal:unknown CA
^^^^^^^^^^^^^^^^^^^^^^^^^^
Das ist wichtiger, alles andere danach dürfte zweitrangig sein bzw. sich 
daraus ergeben.
> Aug 23 00:33:31 sname postfix/smtpd[8395]: warning: TLS library problem:
> 8395:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown
> ca:s3_pkt.c:1102:SSL alert number 48:
>
> Wobei die erste Warnung nicht auftritt, wenn ich meine eigen CA mache
s.U.
> (wie im Buch, in dem Beispiel habe ich ein Zertifikat von startssl.com).
>
> postconf -n: http://pastebin.com/yTpYM0Qc
smtp_tls_CAfile = /etc/ssl/ca-certificates.crt

Überprüfe den Pfad bitte mal genau und schau auch in die Datei rein, 
vielleicht existiert sie dort zwar, aber nur mit wenigen/keinem CA-Cert 
drin. Ich hab nämlich unter Debian 6: smtp_tls_CAfile = 
/etc/ssl/certs/ca-certificates.crt
Das würde auch erklären wieso ein eigenes CA funktioniert.
> master.cf: http://pastebin.com/JexwCcGz
Siehe dazu auch: 
http://listi.jpberlin.de/pipermail/postfixbuch-users/2011-December/057724.html

Beste Grüße,
Markus



Mehr Informationen über die Mailingliste Postfixbuch-users