Problem mit tls_security_level

Jens Adam jra at byte.cx
Fr Apr 1 23:28:56 CEST 2016


Fri, 1 Apr 2016 21:04:39 +0200
"Daniel" <daniel at ist-immer-online.de>:

> postfix/smtpd[22500]: disconnect from verifier.port25.com[38.95.177.125] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
>
> Stimmt wenn mit may angenommen wird, fehlt da wohl wirklich was.

Der Client macht halt kein STARTTLS, so what? Ist anhand des Hostnamens
wohl auch zu vermuten.

> Posteo hat der aber auch nicht genommen, da "Untrusted" obwohl Cert
> vertrauenswürdig ist, und zusätzlich DANE verwende.
> 
> postfix/smtpd[594]: connect from mout01.posteo.de[185.67.36.65]
> postfix/smtpd[594]: Untrusted TLS connection established from mout01.posteo.de[185.67.36.65]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> postfix/smtpd[594]: NOQUEUE: abort: TLS from mout01.posteo.de[185.67.36.65]: Client certificate not trusted
> postfix/smtpd[594]: disconnect from mout01.posteo.de[185.67.36.65] ehlo=1 starttls=1 commands=2

Wozu brauchst du smtpd_tls_ask_ccert? Du hast kein
smtpd_tls_CA(path|file) gesetzt. Vielleicht auch chroot-Problem? Die
Cipher-Auswahl bzw. -Zusammenschrumpfung sehe ich auch recht kritisch.

Ansonsten bleibt nur die obligatorische Frage - warum "encrypt"?

Den Part mit "According to RFC 2487 this MUST NOT be applied in case of
a publicly-referenced SMTP server." hast du ja bestimmt gesehen.
Und du schriebst selbst "und wenn doch kann man auch drauf verzichten" -
tja, so ist das dann halt, dass diverse Server ihre Mails nicht mehr bei
dir loswerden.

--byte
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 455 bytes
Beschreibung: Digitale Signatur von OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160401/95a5f7b1/attachment.sig>


Mehr Informationen über die Mailingliste Postfixbuch-users