[Postfixbuch-users] SMTP-Auth mit STARTTLS scheitert

Vincent Hahn vincent_hahn at web.de
Do Aug 23 16:31:57 CEST 2012


On 23.08.2012 15:02, Markus Hohlmeier wrote:
> 
> Du hast das ganze ja 2mal drin: z.B. smtpd_tls_CAfile und
> smtp_tls_CAfile. Da dürfte ein wenig die Verwirrung herkommen.
> Wenn ich jetzt richtig liege willst du Zertifikate anderer Server beim
> Versenden auswerten können(smtp_tls_CAfile) und von dir aus ein
> Zertifikat(+ STARTTLS(smtpd_use_tls = yes bzw. smtpd_tls_security_level
> = may)) beim Empfang anbieten(smtpd_tls_cert_file und
> smtpd_tls_key_file). Das Augenmerk liegt im smtpd (mit d) und smtp (ohne
> d). Ersteres empfängt, letzteres versendet. Die restlichen Parameter
> haben wenn ich mich auf die schnelle nicht irre mit Client-Zertifikaten
> zu tun und drehen das Spielchen um, d.h. der Client präsentiert deinem
> Server ein Zertifikat und nicht andersherum. Das wird in der Regel zur
> Authentifizierung genutzt; steht wie ich grad sehe auch im Quelltext im
> Buch als kleiner Kommentar.
> 
> Wenn diese Unterscheidung mal sauber läuft, dürften eigtl. keine Fehler
> mehr auftauchen. Zudem brauchst du bei smtp_tls_CAfile wohl eher ein
> restart und nicht nur ein reload, weil er root Rechte braucht und ich
> bezweifle, dass er die bei einem reload einfach so bekommt/bekommen
> sollte. Kurzum der Fehler könnte quasi auch noch "alt" sein.
Also einen restart habe ich eigentlich meist auch gemacht, so rein aus
Vorsicht - aber das ändert nichts :-/
> 
> Mehr Details: http://www.postfix.org/TLS_README.html#server_tls und
> http://www.postfix.org/TLS_README.html#client_tls
> 
Ich habe die Seite nun versucht zu verstehen - so wie ich das sehe, sind
für meinen Fall lediglich smtpd-Einstellungen (vorerst) wichtig. Aber
selbst wenn smtp_-Einstellungen entfallen, ändert sich nichts.

Interessant ist auch:
Beim Versand mit Thunderbird bekomme ich eben die Meldung das nichts
gesendet werden kann (ohne genauere Begründung) und gleichzeitig den
Dialog für unbekannte Zertifikate gezeigt (der eigentlich nicht kommen
sollte).
Bei der Authentifizierung mit openssl s_client wird das Zertifikat
akzeptiert (code 0) und "Auth plain ..." funktioniert auch noch. Erst
beim Versenden kommt der Fehler "no valid Recipients" - obwohl
eigentlich gültige Empfänger gewählt wurden…

Inzwischen bin ich gänzlich verwirrt muss ich zugeben…





Mehr Informationen über die Mailingliste Postfixbuch-users