Untrusted TLS connection beim Mailversand

Carsten postfixer99 at gmail.com
Mo Jan 18 20:09:49 CET 2016 

Hallo Leute,

ich möchte auf einem SLES 11 SP3 erreichen, dass beim Versand das 
Zertifikat der Gegenstelle geprüft wird und ein "Trusted" bzw. 
"Untrusted" im Log steht.

Die Gegenstelle (Mailserver) ist mit einem Zertifikat meiner eigenen CA 
ausgestattet und liefert beim connect die ganze Zertifikatskette mit aus.

Ein entsprechender Test mit "openssl s_client -starttls smtp -CAfile 
/etc/ssl/certs/mycert.pem -connect mailserver.foobar.de:25" liefert auch 
ein "Verify return code: 0 (ok)" zurück.

Ich habe mein Root-CA-Zertifikat nach "/etc/ssl/certs" kopiert und mit 
"c_rehash" neu erstellt.

Ich habe folgende Optionen in der main.cf gesetzt:

smtp_tls_CApath = /etc/ssl/certs/

Mit der Option "smtp_tls_security_level = verify" oder "encrypt" kommt 
folgendes:

----------------------------------------------------------------------------------

Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: 
mailserver.foobar.de[10.9.9.9]:25 Matched CommonName mailserver.foobar.de

Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: 
mailserver.foobar.de[10.9.9.9]:25: subject_CN=mailserver.foobar.de, 
issuer_CN=Meine-CA, fingerprint 
AA:BB:CC:DD:AA:BB:CC:DD:AA:BB:CC:DD:AA:BB:CC:DD, 
pkey_fingerprint=AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA

Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: Verified TLS connection 
established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 with cipher 
DHE-RSA-CAMELLIA256-SHA (256/256 bits)

Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: 9A700EEAE: 
to=<root at mailserver.foobar.de <mailto:root at mailserver.foobar.de>>, 
relay=mailserver.foobar.de[10.9.9.9]:25, delay=0.09, 
delays=0.02/0.01/0.05/0.02, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued 
as 2BA7C489F)

Jan 18 19:01:03 sles-test01 postfix/qmgr[31780]: 9A700EEAE: removed

Das sieht doch gut aus, das Zertifikat wurde geprüft und vertraut.

Mit der Option "smtp_tls_security_level = may erhalte ich stets ein 
"Untrusted"

--------------------------------------------------------------------------------

Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: Untrusted TLS 
connection established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 with 
cipher ADH-CAMELLIA256-SHA (256/256 bits)

Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: 05F7AEEB0: 
to=<root at mailserver.foobar.de <mailto:root at mailserver.foobar.de>>, 
relay=mailserver.foobar.de[10.9.9.9]:25, delay=0.07, 
delays=0.03/0.01/0.02/0.01, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued 
as 82C1E489F)

Jan 18 19:01:56 sles-test01 postfix/qmgr[31952]: 05F7AEEB0: removed

Wie kann das sein? "may" ist doch opportunistisches TLS.

Warum erkennt er nicht wie bei "verify", dass dies eine 
vertrauenswürdige Verbindung ist?

Beste Grüße

Carsten

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160118/cd6325d3/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users