[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

Daniel daniel at ist-immer-online.de
Fr Mai 22 16:18:57 CEST 2015


Hi Patrick,

denke der Fehler ist so schon korrekt mit untrustet, und mein Denkfehler war wohl in der schnelle, dass ich mein eigenes Zertifikat
angeben muss, und nicht mit dem vom Zielserver (Mailrelay)

also lasse ich es wie es war. Würde der Mailserver direkt versenden, müsste ich wohl Path angeben, und für sämtliche Servern wie
Telekom, Google, 1&1, GMX und co entsprechend dann hinterlegen in dem Ordner, oder?

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
Gesendet: Freitag, 22. Mai 2015 14:53
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> Hallo Patrick,
> 
> danke für die Antwort, leider klappt es nicht., weiterhin untrustet zum externen Mailrelay.
> 
> Ich habe probiert
> smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt

Das server-ca.crt weist wen aus? Ist das die CA mit der das Zertifikat des
"externen Mailrelay" signiert wurde?

> und dann noch
> smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt
> 
> Weitere Optionen mit smtp_ in der main.cf sind:
> smtp_tls_security_level = may
> smtp_tls_loglevel = 1
> smtp_tls_fingerprint_digest = sha1
> smtp_tls_note_starttls_offer = yes
> smtp_host_lookup = dns, native
> smtp_use_tls = yes

Mach mal:

openssl s_client -starttls smtp -CAfile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt -connect $externesMailrelay:25

Und sende den output hier her.

p at rick




> 
> Gruß Daniel
> 
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
> Gesendet: Freitag, 22. Mai 2015 13:27
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> 
> * Daniel <postfixbuch-users at listen.jpberlin.de>:
> > Guten Tag,
> > 
> > ich habe ein ähnliches Anliegen.
> > 
> > Im Maillog steht beim Versenden von Mails z.B.:
> > postfix/smtp: Untrusted TLS connection established to mail.x.de[x.x.x.x]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
> > (256/256 bits)
> > 
> > Darauf hin habe ich habe ich mal main.cf geschaut nach dem in den Mail vom Werner bei den genannten Parameter.
> > 
> > Dort habe ich nur gefunden:
> > smtpd_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > 
> > Dieses bezieht sich dann ja wohl nur für eingehende Verbindung, also müsste ich z.B.
> > smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > 
> > hinzufügen damit auch für ausgehende Verbindung Zertifikat verwendet wird und das untrustet verschwindet?
> 
> 
> Nein. Mit Deiner Änderung könnte der Postfix smtp-Client sich einem Server
> gegenüber ausweisen, wenn
> 
> - das Zertifikat für Client Usage geeignet ist
> - der Server das Client-Zertifikat anfragt
> 
> Du musst smtp_tls_CAfile setzen, damit der Client die Zertifikate anderer
> SMTP-Server verifizieren kann, z.B.:
> 
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> 
> p at rick
> 
> 
> 
> > 
> > Bin noch dabei mich mit ganzen Materie stärker vertraut zumachen.
> > 
> > Gruß Daniel
> > 
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme
> > Gesendet: Freitag, 22. Mai 2015 07:53
> > An: postfixbuch-users at listen.jpberlin.de
> > Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> > 
> > Roland Schnabel [21.05.2015 20:13]:
> > > 
> > > On 21.05.2015 12:29, Ralf Hansen wrote:
> > >>
> > >> Aber selbst bei Einrichtung eine Eintrages in /etc/hosts
> > >> 10.100.120.251   interner-server.mein-netz.de
> > >>
> > >> und Nutzung von
> > >> relayhost = interner-server.mein-netz.de
> > >>
> > >> erhalte ich eine Untrusted TLS connection…
> > >>
> > > 
> > > Postfix ignoriert /etc/hosts per Default:
> > > smtp_host_lookup = dns
> > 
> > Trusted oder nicht hat nichts mit DNS zu tun, sondern damit, ob die
> > Zertifikatskette anerkannt wird. Das Root-Zertifikat der Kette sollte in
> > dem Verzeichnis liegen, das mit smtp_tls_CApath definiert wird (für
> > ausgehende Verbindungen; für eingehende ist es smtpd_tls_CApath).
> > 
> > HDH, Werner 





Mehr Informationen über die Mailingliste Postfixbuch-users