[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

Patrick Ben Koetter p at sys4.de
Fr Mai 22 14:53:16 CEST 2015 

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> Hallo Patrick,
> 
> danke für die Antwort, leider klappt es nicht., weiterhin untrustet zum externen Mailrelay.
> 
> Ich habe probiert
> smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt

Das server-ca.crt weist wen aus? Ist das die CA mit der das Zertifikat des
"externen Mailrelay" signiert wurde?

> und dann noch
> smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt
> 
> Weitere Optionen mit smtp_ in der main.cf sind:
> smtp_tls_security_level = may
> smtp_tls_loglevel = 1
> smtp_tls_fingerprint_digest = sha1
> smtp_tls_note_starttls_offer = yes
> smtp_host_lookup = dns, native
> smtp_use_tls = yes

Mach mal:

openssl s_client -starttls smtp -CAfile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt -connect $externesMailrelay:25

Und sende den output hier her.

p at rick




> 
> Gruß Daniel
> 
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
> Gesendet: Freitag, 22. Mai 2015 13:27
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> 
> * Daniel <postfixbuch-users at listen.jpberlin.de>:
> > Guten Tag,
> > 
> > ich habe ein ähnliches Anliegen.
> > 
> > Im Maillog steht beim Versenden von Mails z.B.:
> > postfix/smtp: Untrusted TLS connection established to mail.x.de[x.x.x.x]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
> > (256/256 bits)
> > 
> > Darauf hin habe ich habe ich mal main.cf geschaut nach dem in den Mail vom Werner bei den genannten Parameter.
> > 
> > Dort habe ich nur gefunden:
> > smtpd_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > 
> > Dieses bezieht sich dann ja wohl nur für eingehende Verbindung, also müsste ich z.B.
> > smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > 
> > hinzufügen damit auch für ausgehende Verbindung Zertifikat verwendet wird und das untrustet verschwindet?
> 
> 
> Nein. Mit Deiner Änderung könnte der Postfix smtp-Client sich einem Server
> gegenüber ausweisen, wenn
> 
> - das Zertifikat für Client Usage geeignet ist
> - der Server das Client-Zertifikat anfragt
> 
> Du musst smtp_tls_CAfile setzen, damit der Client die Zertifikate anderer
> SMTP-Server verifizieren kann, z.B.:
> 
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> 
> p at rick
> 
> 
> 
> > 
> > Bin noch dabei mich mit ganzen Materie stärker vertraut zumachen.
> > 
> > Gruß Daniel
> > 
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme
> > Gesendet: Freitag, 22. Mai 2015 07:53
> > An: postfixbuch-users at listen.jpberlin.de
> > Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> > 
> > Roland Schnabel [21.05.2015 20:13]:
> > > 
> > > On 21.05.2015 12:29, Ralf Hansen wrote:
> > >>
> > >> Aber selbst bei Einrichtung eine Eintrages in /etc/hosts
> > >> 10.100.120.251   interner-server.mein-netz.de
> > >>
> > >> und Nutzung von
> > >> relayhost = interner-server.mein-netz.de
> > >>
> > >> erhalte ich eine Untrusted TLS connection

> > >>
> > > 
> > > Postfix ignoriert /etc/hosts per Default:
> > > smtp_host_lookup = dns
> > 
> > Trusted oder nicht hat nichts mit DNS zu tun, sondern damit, ob die
> > Zertifikatskette anerkannt wird. Das Root-Zertifikat der Kette sollte in
> > dem Verzeichnis liegen, das mit smtp_tls_CApath definiert wird (für
> > ausgehende Verbindungen; für eingehende ist es smtpd_tls_CApath).
> > 
> > HDH, Werner
> > 
> > -- 
> > -- 
> > _______________________________________________
> > Postfixbuch-users -- http://www.postfixbuch.de
> > Heinlein Professional Linux Support GmbH
> > 
> > Postfixbuch-users at listen.jpberlin.de
> > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > 
> > 
> > -- 
> > _______________________________________________
> > Postfixbuch-users -- http://www.postfixbuch.de
> > Heinlein Professional Linux Support GmbH
> > 
> > Postfixbuch-users at listen.jpberlin.de
> > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> -- 
> [*] sys4 AG
>  
> https://sys4.de, +49 (89) 30 90 46 64
> Franziskanerstraße 15, 81669 München
>  
> Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
> Vorstand: Patrick Ben Koetter, Marc Schiffbauer
> Aufsichtsratsvorsitzender: Florian Kirstein
>  
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Postfixbuch-users