Postfix TLS
Markus Heinze
max at freecards.de
Mo Mai 15 09:21:32 CEST 2017
Moin moin,
ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich für
meine private Domain einen vServer aufgesetzt mit letsencrypt
Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
mögen das Zertifikat nicht.
Das Zertifikat enthält alternative Einträge, sprich es ist für
<domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
folgende Meldungen im Log
-->
May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no auth
attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS: SSL_read()
failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>
May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library problem:
error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
certificate:s3_pkt.c:1493:SSL alert number 42:
May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
STARTTLS from unknown[1.2.3.4]
<--
Starte ich lokal auf dem Server den openssl s_client ist alles gut
-->
subject=/CN=<domainname>.tld
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms:
RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms:
RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4009 bytes and written 466 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID:
ED5C6CC0A53315F7224724418016A29FE73F378E327D78DFB53E99808ED334CF
Session-ID-ctx:
Master-Key:
6B4256DACDAE64EE60C3FE95024DE181734EB32F2C7C0EC009A1B82998082446FE7CF65D91FCE62BD19AEE596C097FE6
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 7200 (seconds)
TLS session ticket:
0000 - 94 8c 41 d4 ca 0a c7 5f-79 89 87 8b 25 4a 46 71
..A...._y...%JFq
0010 - 75 c2 98 86 5b 63 a0 4a-08 c2 e7 72 4d ad c4 31
u...[c.J...rM..1
0020 - e6 f6 fd 31 42 01 96 12-4a 92 f8 d5 63 73 38 c5
...1B...J...cs8.
0030 - d3 23 d6 1e 62 e1 eb 8c-53 6c ad 3c 04 b4 16 c1
.#..b...Sl.<....
0040 - c5 f5 1d 00 ed e0 81 1f-ee 5b c4 a7 89 28 61 60
.........[...(a`
0050 - 9c ab 8a cd 3e 92 86 d5-3e ae 9f 9c ae 76 13 31
....>...>....v.1
0060 - fb ff ca 8f 97 fb 33 9b-5c 31 0f e8 82 83 f5 1e
......3.\1......
0070 - b8 d9 7e 9c 36 79 fc 65-ae 62 5a d6 14 ed 60 52
..~.6y.e.bZ...`R
0080 - a0 8d 91 54 2d 9f 61 c4-90 41 15 fd 11 57 2e b5
...T-.a..A...W..
0090 - 6a e8 0e 2e 22 71 1f bc-86 ff 58 3e b8 cc 1d ee
j..."q....X>....
Start Time: 1494832678
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
250 SMTPUTF8
<--
Liegt es daran das mail.<domainname>.tld als alternative Name im Cert
ist und nicht als CN?
Vllt. ist schon mal jemand darüber gestolpert, wäre für jedwede Hinweise
dankbar.
mfg
M.Heinze
Mehr Informationen über die Mailingliste Postfixbuch-users