[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

Patrick Ben Koetter p at sys4.de
Fr Mai 22 18:01:08 CEST 2015 

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> Hi Patrick,
> 
> denke der Fehler ist so schon korrekt mit untrustet, und mein Denkfehler war wohl in der schnelle, dass ich mein eigenes Zertifikat
> angeben muss, und nicht mit dem vom Zielserver (Mailrelay)
> 
> also lasse ich es wie es war. Würde der Mailserver direkt versenden, müsste ich wohl Path angeben, und für sämtliche Servern wie
> Telekom, Google, 1&1, GMX und co entsprechend dann hinterlegen in dem Ordner, oder?

Genau.

Wenn Du willst, dann kannst Du über smtp_tls_policy_maps das Zertifikat Deines
Relayserver pinnen (fingerprint). Dann gilt er als Verified.

p at rick



> 
> Gruß Daniel
> 
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
> Gesendet: Freitag, 22. Mai 2015 14:53
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> 
> * Daniel <postfixbuch-users at listen.jpberlin.de>:
> > Hallo Patrick,
> > 
> > danke für die Antwort, leider klappt es nicht., weiterhin untrustet zum externen Mailrelay.
> > 
> > Ich habe probiert
> > smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt
> 
> Das server-ca.crt weist wen aus? Ist das die CA mit der das Zertifikat des
> "externen Mailrelay" signiert wurde?
> 
> > und dann noch
> > smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > smtp_tls_CAfile = /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt
> > 
> > Weitere Optionen mit smtp_ in der main.cf sind:
> > smtp_tls_security_level = may
> > smtp_tls_loglevel = 1
> > smtp_tls_fingerprint_digest = sha1
> > smtp_tls_note_starttls_offer = yes
> > smtp_host_lookup = dns, native
> > smtp_use_tls = yes
> 
> Mach mal:
> 
> openssl s_client -starttls smtp -CAfile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt -connect $externesMailrelay:25
> 
> Und sende den output hier her.
> 
> p at rick
> 
> 
> 
> 
> > 
> > Gruß Daniel
> > 
> > -----Ursprüngliche Nachricht-----
> > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter
> > Gesendet: Freitag, 22. Mai 2015 13:27
> > An: postfixbuch-users at listen.jpberlin.de
> > Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> > 
> > * Daniel <postfixbuch-users at listen.jpberlin.de>:
> > > Guten Tag,
> > > 
> > > ich habe ein ähnliches Anliegen.
> > > 
> > > Im Maillog steht beim Versenden von Mails z.B.:
> > > postfix/smtp: Untrusted TLS connection established to mail.x.de[x.x.x.x]:587: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
> > > (256/256 bits)
> > > 
> > > Darauf hin habe ich habe ich mal main.cf geschaut nach dem in den Mail vom Werner bei den genannten Parameter.
> > > 
> > > Dort habe ich nur gefunden:
> > > smtpd_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > > smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > > 
> > > Dieses bezieht sich dann ja wohl nur für eingehende Verbindung, also müsste ich z.B.
> > > smtp_tls_cert_file = /var/packages/MailServer/target/etc/ssl/mailserver_ssl.pem
> > > smtp_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
> > > 
> > > hinzufügen damit auch für ausgehende Verbindung Zertifikat verwendet wird und das untrustet verschwindet?
> > 
> > 
> > Nein. Mit Deiner Änderung könnte der Postfix smtp-Client sich einem Server
> > gegenüber ausweisen, wenn
> > 
> > - das Zertifikat für Client Usage geeignet ist
> > - der Server das Client-Zertifikat anfragt
> > 
> > Du musst smtp_tls_CAfile setzen, damit der Client die Zertifikate anderer
> > SMTP-Server verifizieren kann, z.B.:
> > 
> > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> > 
> > p at rick
> > 
> > 
> > 
> > > 
> > > Bin noch dabei mich mit ganzen Materie stärker vertraut zumachen.
> > > 
> > > Gruß Daniel
> > > 
> > > 
> > > -----Ursprüngliche Nachricht-----
> > > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme
> > > Gesendet: Freitag, 22. Mai 2015 07:53
> > > An: postfixbuch-users at listen.jpberlin.de
> > > Betreff: Re: [Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
> > > 
> > > Roland Schnabel [21.05.2015 20:13]:
> > > > 
> > > > On 21.05.2015 12:29, Ralf Hansen wrote:
> > > >>
> > > >> Aber selbst bei Einrichtung eine Eintrages in /etc/hosts
> > > >> 10.100.120.251   interner-server.mein-netz.de
> > > >>
> > > >> und Nutzung von
> > > >> relayhost = interner-server.mein-netz.de
> > > >>
> > > >> erhalte ich eine Untrusted TLS connection

> > > >>
> > > > 
> > > > Postfix ignoriert /etc/hosts per Default:
> > > > smtp_host_lookup = dns
> > > 
> > > Trusted oder nicht hat nichts mit DNS zu tun, sondern damit, ob die
> > > Zertifikatskette anerkannt wird. Das Root-Zertifikat der Kette sollte in
> > > dem Verzeichnis liegen, das mit smtp_tls_CApath definiert wird (für
> > > ausgehende Verbindungen; für eingehende ist es smtpd_tls_CApath).
> > > 
> > > HDH, Werner 
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Postfixbuch-users