Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt

[Friedemann Stoyan]

On 18.09.17 09:19, Andreas Schulze wrote:

> Da Du von Debian 9.1 sprichst, gehe ich von postfix-3.1.4 aus. Und *da* würde ich den Default-Wert (leer) bleiben.
> siehe http://marc.info/?l=postfix-users&m=143796843615367
> 
> > smtpd_tls_session_cache_timeout = 3600s
> Default-Wert, hat eigentlich nichts in der main.cf zu suchen
> 
> > smtpd_use_tls=yes
> löschen, ab postfix 2.3 wird TLS über smtpd_tls_security_level gesteuert

OK. Alles angepasst.

> > $ cat /etc/postfix/relay_clientcerts
> > 86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91     OK
> > E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86     OK
> 
> Du hast offenbar aus $Verzweiflung? den Fingerprint des Zertifikates und des Öffentlichen Schlüssels in der relay_clientcerts.
> ( postmap & reload nicht vergessen??? )

Woher weisst Du…?

> bis auf die 3 Punkte oben schaut's eigentlich ordentlich aus. Ich habe ein ähnliches Setup (aber halt kein Debian Postfix).
> 
> Ansonsten kannst Du mal mit 
> # postconf -e "debug_peer_list=192.168.19.10"; postfix reload
> debugging für den Client anschalten und schauen, mit welchen Parametern Postfix in welche Map reingeht und was da für Ergebnisse kommen.
> 
> Ansonsten ist die inline-map auch schick zum Probieren:
>  check_ccert_access inline:{E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86=permit_auth_destination}
> um testweise Probleme mit btree auszuschließen :-)

Ein bisschen rumdebugt. Es entwickelt sich eher in Richtung
smtpd_relay_restrictions.

mfg Friedemann