TLS für ein- und ausgehende Verbindungen

[Ralf Hildebrandt]

* Christian Schoepplein <chris at schoeppi.net>:
> Hi,
> 
> ab und an tauchen Einträge wie dieser hier in den Logs unserer 
> Mailserver auf:
> 
> May 28 12:46:39 myhostname postfix/smtpd[6602]: connect from  researchscan288.eecs.umich.edu[141.212.122.33]
> May 28 12:46:40 myhostname postfix/smtpd[6602]: Anonymous TLS connection established from researchscan288.eecs.umich.edu[141.212.122.33]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
> May 28 12:46:40 myhostname postfix/smtpd[6602]: lost connection after STARTTLS from researchscan288.eecs.umich.edu[141.212.122.33]
> May 28 12:46:40 myhostname postfix/smtpd[6602]: disconnect from researchscan288.eecs.umich.edu[141.212.122.33] ehlo=1 starttls=1 
> commands=2
> 
> TLS ist wie folgt auf den Servern konfiguriert:
> 
> # /usr/sbin/postconf -n | grep tls
> smtp_tls_cert_file = 
> /etc/ssl/private/myhostname.crt
> smtp_tls_key_file = /etc/ssl/private/myhostname.key
> smtp_tls_loglevel = 1
> smtp_use_tls = yes
> smtpd_tls_cert_file = /etc/ssl/private/myhostname.crt
> smtpd_tls_key_file =  /etc/ssl/private/myhostname.key
> smtpd_tls_loglevel = 1

Mal auf 2 hochdrehen

> smtpd_tls_received_header = yes
> smtpd_use_tls = yes
> 
> Postfix-Version ist 3.0.3.
> 
> Bedeutet der Logeintrag oben, dass der Serverzwar gern eine 
> verschlüsselte Verbindung aufbauen möchte, es aber nicht dazu kommt, da 
> das entsprechende Protokoll von uns nicht angeboten wird? Sind unsere 
> TLS Settings OK oder ggf. zu restriktiv bzw. sollten wir was 
> nachbessern?

Unklar, mehr logging nötig.

Man einigt sich auf ein Protokoll, aber dann machts bumm.
-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de