AW: letsencrypt postfix

Harald Witt harald.witt at dpfa.de
Mo Aug 14 17:46:02 CEST 2017 

Hallo Günther,

vielleicht liegt es ja nur am Neustart des Service (siehe --post-hook
unten)?
Oder dein Postfix braucht noch eine Datei? 

Ich hatte da mal ein Problem dem guten alten Courier. Der POP3-Server wollte
unbedingt den privaten Schlüssel und die Fullchain in einer Datei haben,
wass natürlich ein Risiko ist ;-)

Habe dann in der /etc/cron.d/certbot nach "-q renew" die Zeile erweitert:
--post-hook /var/xyz/restart_mailservices.sh

Und da steht drin:
#!/bin/sh
cd /etc/letsencrypt/live/my.domain.de/
cat privkey.pem fullchain.pem >/etc/courier/certbot-courier.pem
systemctl restart courier-pop-ssl.service
systemctl restart postfix.service

Und schon funktionierte das hervorragend :-)
Muss noch dazu schreiben, dass ich Debian 8.9 habe und nicht das
Postfix-Plugin vom certbot benutze. Die Aktualisierung läuft bei mir über
eine SSL-Seite des Apache: pop.my.domain.de-le-ssl.conf bzw.
mail.my.domain.de-le-ssl.conf

HTH
Harald


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de]
Im Auftrag von Günther J. Niederwimmer
Gesendet: Montag, 14. August 2017 16:46
An: postfixbuch-users at listi.jpberlin.de
Betreff: letsencrypt postfix

Hallo Liste,
Ich habe ein Problem mit meinen Postfixen ;-)

Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe
nun anscheinend im Wald.... ;-)

Bevor ich umgestellt hatte, hat alles funktioniert ?
welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
fullchain.pem"

Aber eigentlich habe ich alle durchprobiert

Es scheint irgend etwas mit den Zertifikaten zu sein ?
1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde
wieder mal nichts darüber im Inet.

2: Jetzt nach der Umstellung bekomme ich solche Mails.

Transcript of session follows.

 Out: 220 mx01.4gjn.com ESMTP Postfix
 In:  EHLO www.example.com
 Out: 250-mx01.example.com
 Out: 250-PIPELINING
 Out: 250-SIZE 20480000
 Out: 250-VRFY
 Out: 250-ETRN
 Out: 250-STARTTLS
 Out: 250-ENHANCEDSTATUSCODES
 Out: 250-8BITMIME
 Out: 250 DSN
 In:  STARTTLS
 Out: 454 4.7.0 TLS not available due to local problem
 In:  MAIL FROM:<gjn+www at example.com> SIZE=419
 Out: 250 2.1.0 Ok
 In:  RCPT TO:<gjn+www at example.com> ORCPT=rfc822;root at 4gjn.com
 Out: 450 4.7.1 Session encryption is required
 In:  DATA
 Out: 554 5.5.1 Error: no valid recipients
 In:  RSET
 Out: 250 2.0.0 Ok
 In:  QUIT
 Out: 221 2.0.0 Bye

der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!!

Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: 
4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: 
4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system
lib:ssl_rsa.c:722:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate
from file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 
4003:error:02001002:system library:fopen:No such file or
directory:bss_file.c:
398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 
4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 
4003:error:140DC002:SSL routines:SSL_CTX_use

Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host
mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is
required (in reply to RCPT TO command)

Wo ist da der Wurm auf einmal drin ?

### TLS ######
#
##
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols =
!SSLv2,!SSLv3 smtpd_tls_received_header = yes #smtpd_tls_CApath =
/etc/pki/certs #smtpd_tls_CAfile = /etc/pki/tls/certs.pem

#smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem

#smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
smtpd_tls_key_file = /etc/pki/tls/private/example.com.key

smtpd_tls_security_level = may
#smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
#smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
#smtpd_tls_eecdh_grade = ultra

# TLS outgoing
smtp_tls_security_level = may
smtp_tls_loglevel = 1
#smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
#smtp_tls_key_file = /etc/pki/tls/private/example.com.key

Übrigens der normale Mail Empfang funktioniert ??

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer

Mehr Informationen über die Mailingliste Postfixbuch-users