Frage zur CA von letsencrypt
Andreas Meyer
anmeyer at mailbox.org
Sa Aug 13 09:50:01 CEST 2016
Werner Flamme <w.flamme at web.de> schrieb am 13.08.16 um 08:19:23 Uhr:
> >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143]
> >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143]
> >> Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern>
> >> Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=<a.meyer at nimmini.de>, size=2062, nrcpt=1 (queue active)
> >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143]
> >> Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=<andreas at bitwater.de>, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox)
> >
> > Die Verbindung bleibt halt untrusted. Ein
> > openssl s_client -starttls smtp -connect 46.38.231.143:25
> > liefert ein positives Ergebnis.
>
> Das hat doch nichts zu sagen. Mit dem openssl s_client testest Du smtpd.
> smtpd zeigt Dir brav das installierte Zertifikat, und wenn die komplette
> Chain kommt, ist es schön.
Ja, das dachte ich mir.
> Der Teil von Postfix, der mit bitwater1 Kontakt aufnimmt, ist aber smtp,
> ohne d hinten dran ;). Hast Du denn die entsprechenden smtp_-Parameter
> auf mail.nimmini.de gesetzt? Siehe z. B.
> <http://www.postfix.org/postconf.5.html#smtp_tls_cert_file>.
Dieser Teil sieht so aus:
smtp-nimi unix - - n - - smtp
-o smtp_bind_address=46.38.231.143
-o smtp_helo_name=mail.nimmini.de
-o syslog_name=postfix-smtp-nimi
-o smtp_use_tls=yes
-o smtp_dns_support_level=dnssec
-o smtp_tls_security_level=dane
-o smtp_tls_note_starttls_offer=yes
-o smtp_tls_key_file=/etc/postfix/certs/startsslkeys/nimmini/nimminikey.pem
-o smtp_tls_cert_file=/etc/postfix/certs/startsslkeys/nimmini/nimminichain.pem
-o smtp_tls_CAfile=/etc/postfix/certs/startsslkeys/nimmini/ca.pem
-o smtp_tls_CApath=/var/lib/ca-certificates/pem
Viele Varianten durchprobiert, die Verbindung bleibt aus Empfängersicht
untrusted, was ja der Sendersicht widerspricht.
Grüße
Andreas
Mehr Informationen über die Mailingliste Postfixbuch-users