[Postfixbuch-users] Log-Informationen Postausgang

Patrick Ben Koetter p at sys4.de
Fr Jul 10 11:37:45 CEST 2015 

* Andreas Pothe <postfixbuch-users at listen.jpberlin.de>:
> Servus,
> 
> da ich mich seit geraumer Zeit mit DNSSEC und DANE beschäftige, habe ich
> das inzwischen natürlich auch für meinen Mailserver aktiviert und das
> Logging entsprechend hochgedreht, sodass ich sehen kann, welche
> ausgehenden Verbindungen Verified, Trusted oder Untrusted sind. Nun habe
> ich keinen High-Traffic-Server, vielmehr laufen nur meine kleine
> Nebenerwerbs-Ein-Personen-Firma sowie meine private Korrespondenz
> darüber, entsprechend klein sind auch die Postausgangsraten.
> 
> Erfreulicherweise habe ich aber bereits festgestellt, dass mit Kabel
> Deutschland inzwischen auch ein größerer (E-Mail-) Provider DANE
> einsetzt (kabelmail.de), es also nicht mehr nur ein Thema für kleine,
> nahezu unbekannte Anbieter wie Posteo, mail.de oder mailbox.org ist.
> 
> Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur
> Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal
> einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online,
> Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank,
> die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich
> so, dass praktisch alle nicht von einer CA unterschriebene Zertifikate
> benutzen? Oder fehlt da nur etwas in meinem Postfix?
> Ok, ich gebe zu, bei mir ist das Zertifikat auch nur von einer CA
> unterschrieben, weil es identisch ist mit dem des Webservers und ein
> Einsatz auf verschiedenen Servern vom Anbieter her auch erlaubt ist.

Kann es sein, dass Du dem smtp-Client keine CA, in der er nachprüfen kann ob
das Cert von einer ihm bekannten CA signiert (ca-chain) wurde, an die Seite
gegeben hast? 

Der Klassiker wäre Folgendes einzutragen:

    smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Nach einen Reload solltest Du 'trusted' im Log sehen sobald der Client die
CA-chain eines TLS-Server auflösen kann.


> Was mir aber noch aufgefallen ist: Eine nicht verschlüsselte Verbindung
> wird bei mir nicht weiter im Logfile markiert.
> Bei einem verschlüsselten Postausgang steht im Logfile z. B. soetwas
> (gekürzt):
> 
> postfix/smtp[4613]: Untrusted TLS connection established to
> smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25: TLSv1.2 with cipher
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> postfix/smtp[4613]: 8AF6C280002: to=<SNIP>,
> relay=smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25, [SNIP]
> 
> 
> Bei einer unverschlüsselten Verbindung dagegen nur:
> postfix/smtp[4671]: 79C93280002: to=<SNIP>,
> relay=smtp.tin.it[62.211.72.32]:25, [SNIP]
> 
> 
> Gibt es die Möglichkeit, hier auch eine weitere Info einzubringen, dass
> es sich um eine nicht-verschlüsselte Verbindung handelt?

Nein.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Postfixbuch-users