AW: Problem mit tls_security_level

Daniel daniel at ist-immer-online.de
Sa Apr 2 06:33:38 CEST 2016


Moin byte,

smtpd_tls_CApath = /etc/ssl/certs/ habe ich nun noch gesetzt.

Nun kommt auch Testmail von Posteo durch mit encrypt. In dem Fall sowie bei may steht dort nun "Untrusted" und kein "Anonymous" mehr. Ich lass es sonst nun weiterhin auf may vorerst.

Jetzt bleibt Frage, wieso alles "Untrusted" ist, besonders beim Versand mit Dane.

root:~# posttls-finger -t30 -T180 -c -L verbose,summary posteo.de
posttls-finger: initializing the client-side TLS engine
posttls-finger: setting up TLS connection to mx01.posteo.de[185.67.36.61]:25
posttls-finger: mx01.posteo.de[185.67.36.61]:25: TLS cipher list "aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH:!aNULL"
posttls-finger: mx01.posteo.de[185.67.36.61]:25: depth=1 verify=0 subject=/C=IL/O=StartCom Ltd./OU=StartCom Certification Authority/CN=StartCom Extended Validation Server CA
posttls-finger: mx01.posteo.de[185.67.36.61]:25: depth=0 verify=1 subject=/C=DE/ST=Berlin/L=Berlin/postalCode=10965/street=Methfesselstra\xDFe 38/O=Posteo e.K./CN=www.posteo.de/emailAddress=postmaster at posteo.de/serialNumber=HRA 47592/businessCategory=Private Organization/jurisdictionL=Charlottenburg/jurisdictionST=Berlin
posttls-finger: certificate verification failed for mx01.posteo.de[185.67.36.61]:25: untrusted issuer /C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
posttls-finger: mx01.posteo.de[185.67.36.61]:25: subject_CN=www.posteo.de, issuer_CN=StartCom Extended Validation Server CA, fingerprint=3A:89:D8:AD:DC:A7:23:5C:8F:44:E9:DD:2E:85:6A:31:D2:D3:C9:70, pkey_fingerprint=6B:63:F4:BD:E8:1F:0E:BA:52:85:51:3D:EF:DF:51:46:E1:C2:3C:4D
posttls-finger: Untrusted TLS connection established to mx01.posteo.de[185.67.36.61]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Die Cipher-Auswahl habe ich extra beschränkt, wegen ganzen Schwachstellen (beast, poodle, ect.), und bisher habe ich damit noch keine Probleme gehabt.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Jens Adam
Gesendet: Freitag, 1. April 2016 23:29
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: Problem mit tls_security_level

Fri, 1 Apr 2016 21:04:39 +0200
"Daniel" <daniel at ist-immer-online.de>:

> postfix/smtpd[22500]: disconnect from verifier.port25.com[38.95.177.125] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
>
> Stimmt wenn mit may angenommen wird, fehlt da wohl wirklich was.

Der Client macht halt kein STARTTLS, so what? Ist anhand des Hostnamens
wohl auch zu vermuten.

> Posteo hat der aber auch nicht genommen, da "Untrusted" obwohl Cert
> vertrauenswürdig ist, und zusätzlich DANE verwende.
> 
> postfix/smtpd[594]: connect from mout01.posteo.de[185.67.36.65]
> postfix/smtpd[594]: Untrusted TLS connection established from mout01.posteo.de[185.67.36.65]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> postfix/smtpd[594]: NOQUEUE: abort: TLS from mout01.posteo.de[185.67.36.65]: Client certificate not trusted
> postfix/smtpd[594]: disconnect from mout01.posteo.de[185.67.36.65] ehlo=1 starttls=1 commands=2

Wozu brauchst du smtpd_tls_ask_ccert? Du hast kein
smtpd_tls_CA(path|file) gesetzt. Vielleicht auch chroot-Problem? Die
Cipher-Auswahl bzw. -Zusammenschrumpfung sehe ich auch recht kritisch.

Ansonsten bleibt nur die obligatorische Frage - warum "encrypt"?

Den Part mit "According to RFC 2487 this MUST NOT be applied in case of
a publicly-referenced SMTP server." hast du ja bestimmt gesehen.
Und du schriebst selbst "und wenn doch kann man auch drauf verzichten" -
tja, so ist das dann halt, dass diverse Server ihre Mails nicht mehr bei
dir loswerden.

--byte




Mehr Informationen über die Mailingliste Postfixbuch-users