[Postfixbuch-users] verschlüsselte Server <-> Server Kommunikation

[Werner Flamme]

sebastian at debianfan.de [24.04.2014 19:47]:
> Hallo & Guten Abend zusammen,
> 
> ich habe das Tutorial von Peer nachgebaut "Perfect Forward Secrecy (PFS) 
> für Postfix und Dovecot einrichten".
> 
> Dann habe ich zu verschiedenen "vertrauenswürdigen Mailservern" auf 
> welchen ich Accounts habe versucht eine Mail zu senden.
> 
> Es kam bei allen Mailservern zu folgendem Eintrag in mein Postfix-Log:
> 
> Apr 24 19:43:22 meinhost postfix/smtp[5598]: Untrusted TLS connection 
> established to mx2.mailbox.org[80.241.60.215]:25: TLSv1.2 with cipher 
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Diese Aussage betrifft das Zertifikat von mx2.mailbox.org.

> Untrusted TLS... - jo mei - ich kann ja wohl kaum gemeint sein.
> 
> Der SSL-Test für den Mailserver bei https://de.ssl-tools.net war "3 mal 
> grün" - das Zertifikat ist ein gekauftes und von PSW signiertes Zertifikat.

Dieser Test testet Dein Zertifikat.

> Ist das jetzt "normal" das dort untrusted steht oder deutet das auf ein 
> Konfigurationsproblem bei mir hin?

Die beiden Ausgaben haben nichts miteinander zu tun :-)

Bei mir kamen trusted connections zustande, als ich

postconf -e "smtp_tls_CApath=/etc/ssl/certs"

gesetzt hatte. Damit sage ich Postfix, dass alle (Stamm-)Zertifikate in
/etc/ssl/certs vertrauenswürdig sind, ergo sind es auch die von denen
signierten Serverzertifikate.

Der Eintrag ist alternativ zu der Einstellung smtp_tls_CAfile - entweder
hast Du vertrauenswürdige Zertifikate in einer Datei (dann
smtp_tls_CAfile) oder in einem Verzeichnis (dann smtp_tls_CApath).

Nachzulesen: <http://www.postfix.org/postconf.5.html#smtp_tls_CAfile>,
<http://www.postfix.org/postconf.5.html#smtp_tls_CApath> und
<http://www.postfix.org/TLS_README.html>.

HDH, Werner


--