Postfix TLS

Markus Heinze max at freecards.de
Mo Mai 15 09:21:32 CEST 2017


Moin moin,

ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich für 
meine private Domain einen vServer aufgesetzt mit letsencrypt 
Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot 
mögen das Zertifikat nicht.
Das Zertifikat enthält alternative Einträge, sprich es ist für 
<domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld 
ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich 
folgende Meldungen im Log

-->

May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no auth 
attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS: SSL_read() 
failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad 
certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>

May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library problem: 
error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad 
certificate:s3_pkt.c:1493:SSL alert number 42:
May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after 
STARTTLS from unknown[1.2.3.4]

<--

Starte ich lokal auf dem Server den openssl s_client ist alles gut

-->

subject=/CN=<domainname>.tld
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: 
RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: 
RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4009 bytes and written 466 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
     Protocol  : TLSv1.2
     Cipher    : ECDHE-RSA-AES256-GCM-SHA384
     Session-ID: 
ED5C6CC0A53315F7224724418016A29FE73F378E327D78DFB53E99808ED334CF
     Session-ID-ctx:
     Master-Key: 
6B4256DACDAE64EE60C3FE95024DE181734EB32F2C7C0EC009A1B82998082446FE7CF65D91FCE62BD19AEE596C097FE6
     Key-Arg   : None
     PSK identity: None
     PSK identity hint: None
     SRP username: None
     TLS session ticket lifetime hint: 7200 (seconds)
     TLS session ticket:
     0000 - 94 8c 41 d4 ca 0a c7 5f-79 89 87 8b 25 4a 46 71   
..A...._y...%JFq
     0010 - 75 c2 98 86 5b 63 a0 4a-08 c2 e7 72 4d ad c4 31   
u...[c.J...rM..1
     0020 - e6 f6 fd 31 42 01 96 12-4a 92 f8 d5 63 73 38 c5   
...1B...J...cs8.
     0030 - d3 23 d6 1e 62 e1 eb 8c-53 6c ad 3c 04 b4 16 c1   
.#..b...Sl.<....
     0040 - c5 f5 1d 00 ed e0 81 1f-ee 5b c4 a7 89 28 61 60   
.........[...(a`
     0050 - 9c ab 8a cd 3e 92 86 d5-3e ae 9f 9c ae 76 13 31   
....>...>....v.1
     0060 - fb ff ca 8f 97 fb 33 9b-5c 31 0f e8 82 83 f5 1e   
......3.\1......
     0070 - b8 d9 7e 9c 36 79 fc 65-ae 62 5a d6 14 ed 60 52   
..~.6y.e.bZ...`R
     0080 - a0 8d 91 54 2d 9f 61 c4-90 41 15 fd 11 57 2e b5   
...T-.a..A...W..
     0090 - 6a e8 0e 2e 22 71 1f bc-86 ff 58 3e b8 cc 1d ee   
j..."q....X>....

     Start Time: 1494832678
     Timeout   : 300 (sec)
     Verify return code: 0 (ok)
---
250 SMTPUTF8

<--

Liegt es daran das mail.<domainname>.tld als alternative Name im Cert 
ist und nicht als CN?

Vllt. ist schon mal jemand darüber gestolpert, wäre für jedwede Hinweise 
dankbar.

mfg
M.Heinze



Mehr Informationen über die Mailingliste Postfixbuch-users