Frage zur CA von letsencrypt

[Werner Flamme]

Am 12.08.2016 um 18:31 schrieb Andreas Meyer:
> Hallo!
> 
> Ich habe ein Zerifikat von letsencrypt auf bitwater.de eingebaut.
> 
> Auf dem sendenden Postfix bekomme ich ein
> Aug 12 18:20:22 bitmachine1 postfix-smtp-nimi/smtp[10980]: Trusted TLS connection established to mail.bitwater.de[188.68.49.191]:25

Das bedeutet, dass dem postfix auf "bitmachine1" vom Host
"mail.bitwater.de[188.68.49.191]" ein TLS-Zertifikat vorgelegt wird,
dessen CA er kennt und das deshalb als vertrauenswürdig eingestuft wird.

> und auf dem empfangenden mit dem Zertifikat von letsencrypt ein
> Aug 12 18:20:21 bitwater1 postfix/smtpd[15977]: Untrusted TLS connection established from unknown[46.38.231.143]:
> 
> Warum ist das so? 

Die Maschine "bitwater1" hat eine eingehende TLS-Verbindung von Host
"46.38.231.143" (das ist übrigens mail.nimmini.de). Dabei wird ein
Zertifikat vorgelegt, dessen CA postfix nicht bekannt ist. Dem kann man
mit den Parametern smtpd_tls_CAfile bzw. smtpd_tls_CApath auf Host
bitwater1 abhelfen, wenn es sich nicht z. B. um ein selbstsigniertes
Zertifikat handelt.

> Welcher MTA fragt nach der CA von letsencrypt?

Keine Ahnung.

> Die ist in smtpd_tls_CApath = /var/lib/ca-certificates/pem nicht zu finden.

Dann suche sie mal und setze den Pfad entsprechend - oder verlinke sie
in das Verzeichnis und führe dort c_rehash aus.

HDH, Werner
--