[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
Daniel
daniel at ist-immer-online.de
Fr Mai 22 13:56:49 CEST 2015
Hallo Patrick,
danke für die Antwort, leider klappt es nicht., weiterhin untrustet zum externen Mailrelay.
Ich habe probiert
smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt
und dann noch
smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt
Weitere Optionen mit smtp_ in der main.cf sind:
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_fingerprint_digest = sha1
smtp_tls_note_starttls_offer = yes
smtp_host_lookup = dns, native
smtp_use_tls = yes
Gruß Daniel
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
Gesendet: Freitag, 22. Mai 2015 13:27
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
* Daniel <postfixbuch-users at listen.jpberlin.de>:
> Guten Tag,
>
> ich habe ein ähnliches Anliegen.
>
> Im Maillog steht beim Versenden von Mails z.B.:
> postfix/smtp: Untrusted TLS connection established to mail.x.de[x.x.x.x]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
> (256/256 bits)
>
> Darauf hin habe ich habe ich mal main.cf geschaut nach dem in den Mail vom Werner bei den genannten Parameter.
>
> Dort habe ich nur gefunden:
> smtpd_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
>
> Dieses bezieht sich dann ja wohl nur für eingehende Verbindung, also müsste ich z.B.
> smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
>
> hinzufügen damit auch für ausgehende Verbindung Zertifikat verwendet wird und das untrustet verschwindet?
Nein. Mit Deiner Änderung könnte der Postfix smtp-Client sich einem Server
gegenüber ausweisen, wenn
- das Zertifikat für Client Usage geeignet ist
- der Server das Client-Zertifikat anfragt
Du musst smtp_tls_CAfile setzen, damit der Client die Zertifikate anderer
SMTP-Server verifizieren kann, z.B.:
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
p at rick
>
> Bin noch dabei mich mit ganzen Materie stärker vertraut zumachen.
>
> Gruß Daniel
>
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme
> Gesendet: Freitag, 22. Mai 2015 07:53
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
>
> Roland Schnabel [21.05.2015 20:13]:
> >
> > On 21.05.2015 12:29, Ralf Hansen wrote:
> >>
> >> Aber selbst bei Einrichtung eine Eintrages in /etc/hosts
> >> 10.100.120.251 interner-server.mein-netz.de
> >>
> >> und Nutzung von
> >> relayhost = interner-server.mein-netz.de
> >>
> >> erhalte ich eine Untrusted TLS connection…
> >>
> >
> > Postfix ignoriert /etc/hosts per Default:
> > smtp_host_lookup = dns
>
> Trusted oder nicht hat nichts mit DNS zu tun, sondern damit, ob die
> Zertifikatskette anerkannt wird. Das Root-Zertifikat der Kette sollte in
> dem Verzeichnis liegen, das mit smtp_tls_CApath definiert wird (für
> ausgehende Verbindungen; für eingehende ist es smtpd_tls_CApath).
>
> HDH, Werner
>
> --
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH
Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Mehr Informationen über die Mailingliste Postfixbuch-users