[Postfixbuch-users] SMTP-Auth mit STARTTLS scheitert

Vincent Hahn vincent_hahn at web.de
Fr Aug 24 00:08:36 CEST 2012


On 23.08.2012 23:57, Markus Hohlmeier wrote:
> 
>>> Mehr Details:http://www.postfix.org/TLS_README.html#server_tls  und
>>> http://www.postfix.org/TLS_README.html#client_tls
>> Ich habe die Seite nun versucht zu verstehen - so wie ich das sehe, sind
>> für meinen Fall lediglich smtpd-Einstellungen (vorerst) wichtig. Aber
>> selbst wenn smtp_-Einstellungen entfallen, ändert sich nichts.
>>
>> Interessant ist auch:
>> Beim Versand mit Thunderbird bekomme ich eben die Meldung das nichts
>> gesendet werden kann (ohne genauere Begründung) und gleichzeitig den
>> Dialog für unbekannte Zertifikate gezeigt (der eigentlich nicht kommen
>> sollte).
> 
> Das sollte nicht sein. 2 Fehlerstellen: 1. Thunderbird vertraut
> startssl.com(CA) allgemein nicht, was meines Wissens bei StartSSL aber
> nicht der Fall ist oder dein im Server eingebundene Zertifikat ist
> fehlerhaft. Versuch mit Thunderbird nochmal zu verschicken und schau dir
> die Daten  vom Zertifikat an.
> Meine Vermutung: Auf welchen Hostnamen ist das Zertifikat ausgestellt?
Das hat zwar gestimmt - aber dein Tipp war heiß und half: Der Fehler,
der auf dem Server angezeigt wurde kam, weil Thunderbird eine Warnung
ausgab (dem Zertifikat wird nicht vertraut). Eigentlich sollte
Thunderbird StartSSL.com auch vertrauen. Ich habe den Account in TB
einfach nochmals eingerichtet und schwupp - es ging. Auf einmal. Keine
Ahnung wo da jetzt der Unterschied war :-S Aber immerhin :-)

> 
> Ich hab vorhin überlesen, dass du das CA-Bundle von StartSSL einfach an
> die Datei ange"cat"et hast..... gaanz blöde Idee. Niemals wahllos an den
> Certs rumpfuschen. Wenn du saubere Zertifikate hast, die nicht von dir
> selbst signiert wurden sondern von einer anerkannten Stelle, solltest du
> niemals daran rumhantieren müssen. Bitte einmal "update-ca-certificates
> -v" ausführen damit das wieder sauber ist.
Gut zu wissen - vielen Dank für den Tipp. Habe ich gemacht!
> 
>> Bei der Authentifizierung mit openssl s_client wird das Zertifikat
>> akzeptiert (code 0) und "Auth plain ..." funktioniert auch noch. Erst
>> beim Versenden kommt der Fehler "no valid Recipients" - obwohl
>> eigentlich gültige Empfänger gewählt wurden…
> Authentifizierung? oder einfach Aufbau einer SSL Verbindung, darin
> besteht ein großer Unterschied. Bei einer
> Authentifizierung/Client-Zertifikaten must du wie schon erwähnt mit
> smtpd_tls_CAfile und permit...tls...cert... oder wie das hieß arbeiten.
Wahrscheinlich meinte ich dann den Aufbau der SSL Verbindung.
Jedenfalls vielen Dank für die Hilfe! Ich bin so froh, dass es endlich
funktioniert hat - das hat viel Zeit gefressen.

Beste Grüße,
Vincent




Mehr Informationen über die Mailingliste Postfixbuch-users