<html>
<head>
<meta content="text/html; charset=windows-1252"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">Hallo Roland,<br>
<br>
vielen Dank für die ausführlichen Tipps.<br>
<br>
Vermutlich liegt mein Problem an der Reverse-DNS-Auflösung
(sprich: dig -x 10.100.120.251).<br>
Es gibt in diesem Umfeld kein DNS/Reverse-DNS und ich kenne
keinen Weg, meinen Host hier zu überlisten, da die /etc/hosts
Datei ja nur vorwärts-Auflösung macht.<br>
Dann kann ich da vermutlich nichts tun oder hat noch jemand ne
Idee?<br>
<br>
Die Zertifikatskette ist soweit schlüssig und alle Zertifikate
sind eingebunden, daher ergibt der manuelle Test mit "openssl
s_client" auch keine Fehler. ("Verify return code: 0 (ok)"),<br>
aber vermutlich wird hier nicht reverse-DNS geprüft.<br>
<br>
Postfix läuft nicht im chroot...<br>
<br>
Schöne Grüße, Ralf<br>
<br>
<br>
<br>
Am 15.05.2015 um 18:52 schrieb Roland Schnabel:<br>
</div>
<blockquote cite="mid:5556243B.6090408@rolandschnabel.de"
type="cite">
<meta content="text/html; charset=windows-1252"
http-equiv="Content-Type">
Hallo Ralf,<br>
<br>
ich würde mal folgende Punkte prüfen:<br>
<br>
1.<br>
"tls_append_default_CA = yes" beim SMTP-Client setzen. Das hatte
bei mir mal ähnliche Probleme verursacht.<br>
<br>
2.<br>
Ist der DNS-Name im Server-Zertifikat (ggf. unter Alternate
DNS-Names) auch derjenige, den der SMTP-Client per DNS auflösen
kann? (sprich: dig -x 10.100.120.251)<br>
<br>
3.<br>
Bei der Ausgabe von "openssl s_client ..." auf dem SMTP-Client
nochmal GENAU die gesamte Zertifikatskette prüfen. Die wird gleich
am Anfang ausgegeben. Falls dort Fehler auftreten, gibt das
ähnliche Probleme.<br>
<br>
4. <br>
Sicherstellen dass das Zertifikatsverzeichnis auch wirklich vom
Postfix gelesen werden kann (s. Chroot-Umgebung von Postfix,
selinux, Apparmor, etc.).<br>
<br>
Viele Grüße,<br>
Roland<br>
<br>
<br>
<div class="moz-cite-prefix"><br>
</div>
</blockquote>
</body>
</html>