[Postfixbuch-users] SMTP-Auth mit STARTTLS scheitert

Markus Hohlmeier markus at hohlmeier.de
Do Aug 23 23:57:24 CEST 2012 

>> Mehr Details:http://www.postfix.org/TLS_README.html#server_tls  und
>> http://www.postfix.org/TLS_README.html#client_tls
> Ich habe die Seite nun versucht zu verstehen - so wie ich das sehe, sind
> für meinen Fall lediglich smtpd-Einstellungen (vorerst) wichtig. Aber
> selbst wenn smtp_-Einstellungen entfallen, ändert sich nichts.
>
> Interessant ist auch:
> Beim Versand mit Thunderbird bekomme ich eben die Meldung das nichts
> gesendet werden kann (ohne genauere Begründung) und gleichzeitig den
> Dialog für unbekannte Zertifikate gezeigt (der eigentlich nicht kommen
> sollte).

Das sollte nicht sein. 2 Fehlerstellen: 1. Thunderbird vertraut 
startssl.com(CA) allgemein nicht, was meines Wissens bei StartSSL aber 
nicht der Fall ist oder dein im Server eingebundene Zertifikat ist 
fehlerhaft. Versuch mit Thunderbird nochmal zu verschicken und schau dir 
die Daten  vom Zertifikat an.
Meine Vermutung: Auf welchen Hostnamen ist das Zertifikat ausgestellt? 
Stimmt er mit dem verwendeten überein? Man beachte dabei auch wie 
Postfix+DNS konfiguriert wurde und über welche Adresse andere Server 
reingehen und wie eigene Nutzer(z.B. mx.server.de vs. mail.server.de). 
Das Zertifikat ist normalerweise nur für einen von beiden ausgestellt, 
falls es 2 unterschiedliche Adressen auf einer IP gibt, geht eine 
Adresse automatisch leer aus(Wildcard mal ausgenommen).

Ich hab vorhin überlesen, dass du das CA-Bundle von StartSSL einfach an 
die Datei ange"cat"et hast..... gaanz blöde Idee. Niemals wahllos an den 
Certs rumpfuschen. Wenn du saubere Zertifikate hast, die nicht von dir 
selbst signiert wurden sondern von einer anerkannten Stelle, solltest du 
niemals daran rumhantieren müssen. Bitte einmal "update-ca-certificates 
-v" ausführen damit das wieder sauber ist.

> Bei der Authentifizierung mit openssl s_client wird das Zertifikat
> akzeptiert (code 0) und "Auth plain ..." funktioniert auch noch. Erst
> beim Versenden kommt der Fehler "no valid Recipients" - obwohl
> eigentlich gültige Empfänger gewählt wurden…
Authentifizierung? oder einfach Aufbau einer SSL Verbindung, darin 
besteht ein großer Unterschied. Bei einer 
Authentifizierung/Client-Zertifikaten must du wie schon erwähnt mit 
smtpd_tls_CAfile und permit...tls...cert... oder wie das hieß arbeiten.

Grüße
Markus

Mehr Informationen über die Mailingliste Postfixbuch-users