[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

Daniel daniel at ist-immer-online.de
Fr Mai 22 13:56:49 CEST 2015


Hallo Patrick,

danke für die Antwort, leider klappt es nicht., weiterhin untrustet zum externen Mailrelay.

Ich habe probiert
smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt

und dann noch
smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt

Weitere Optionen mit smtp_ in der main.cf sind:
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_fingerprint_digest = sha1
smtp_tls_note_starttls_offer = yes
smtp_host_lookup = dns, native
smtp_use_tls = yes

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
Gesendet: Freitag, 22. Mai 2015 13:27
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> Guten Tag,
> 
> ich habe ein ähnliches Anliegen.
> 
> Im Maillog steht beim Versenden von Mails z.B.:
> postfix/smtp: Untrusted TLS connection established to mail.x.de[x.x.x.x]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
> (256/256 bits)
> 
> Darauf hin habe ich habe ich mal main.cf geschaut nach dem in den Mail vom Werner bei den genannten Parameter.
> 
> Dort habe ich nur gefunden:
> smtpd_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> 
> Dieses bezieht sich dann ja wohl nur für eingehende Verbindung, also müsste ich z.B.
> smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> 
> hinzufügen damit auch für ausgehende Verbindung Zertifikat verwendet wird und das untrustet verschwindet?


Nein. Mit Deiner Änderung könnte der Postfix smtp-Client sich einem Server
gegenüber ausweisen, wenn

- das Zertifikat für Client Usage geeignet ist
- der Server das Client-Zertifikat anfragt

Du musst smtp_tls_CAfile setzen, damit der Client die Zertifikate anderer
SMTP-Server verifizieren kann, z.B.:

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

p at rick



> 
> Bin noch dabei mich mit ganzen Materie stärker vertraut zumachen.
> 
> Gruß Daniel
> 
> 
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme
> Gesendet: Freitag, 22. Mai 2015 07:53
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> 
> Roland Schnabel [21.05.2015 20:13]:
> > 
> > On 21.05.2015 12:29, Ralf Hansen wrote:
> >>
> >> Aber selbst bei Einrichtung eine Eintrages in /etc/hosts
> >> 10.100.120.251   interner-server.mein-netz.de
> >>
> >> und Nutzung von
> >> relayhost = interner-server.mein-netz.de
> >>
> >> erhalte ich eine Untrusted TLS connection…
> >>
> > 
> > Postfix ignoriert /etc/hosts per Default:
> > smtp_host_lookup = dns
> 
> Trusted oder nicht hat nichts mit DNS zu tun, sondern damit, ob die
> Zertifikatskette anerkannt wird. Das Root-Zertifikat der Kette sollte in
> dem Verzeichnis liegen, das mit smtp_tls_CApath definiert wird (für
> ausgehende Verbindungen; für eingehende ist es smtpd_tls_CApath).
> 
> HDH, Werner
> 
> -- 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
-- 
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users





Mehr Informationen über die Mailingliste Postfixbuch-users