[Postfix-es] Postfix con TLS

Ronald Urbano ronald en cyberline.com.pe
Mie Abr 12 19:33:31 CEST 2006 

Me repondo yo mismo,
Le quité en mi 'postfix cliente tls' el parametro "smtp_enforce_tls = 
yes" en el main.cf ; Con esto igual se establece una conexión TLS con mi 
'postfix servidor tls' , este parametro en "yes" forzaba si o si la 
conexión tsl a cualquier destino, de lo contrario no enviaria correo 
alguno,

Puse este parametro para simular una "prueba real", sin embargo en un 
ambiente real, el cliente intenta hacer una conexion tls si ambos 
servidores lo soportan, sin necesidad de forzar la conexión tls.

Ademas, el parametro mencionado(smtp_enforce_tls = yes) solo provocaría 
que se pueda enviar un correo siempre y cuando tenga la llave pública 
del CA del servidor TLS al que envio.


Atte.

Ronald Urbano-



Ronald Urbano wrote:

>
> Gracias, efectivamente, puse como CommonName "lolo", y al parecer el 
> servidor tsl respondia como 192.168.2.6; Para no volver a generar 
> otros certificados, solucioné el problemilla cambiando el myhostname 
> del main.cf a "lolo".
>
> Luego de eso, se me presentó otro inconveniente , cuando envio un 
> correo, en el log cliente tls me sale:
> " Unverified: subject_CN=lolo, issuer=lolo "   y no sale el correo, se 
> queda en cola con el mensaje: "(TLS-failure: Could not verify 
> certificate)"
>
> ...Bueno, lo que hice es adicionar el contenido del cacert.pem del 
> 'postfix tls server' al cacert.pem del 'postfix tls cliente', con esto 
> pude enviar el correo con normalidad.
>
> Ahora mi pregunta es si siempre deberia adicionar la publica de CA al 
> que le envio el correo?,  menciono nuevamente tanto el postfix tls 
> server y cliente tienen sus certificados autofirmados por ellos mismos.
> Quiza si me genero los certificados en "http://www.cacert.org/" aquel 
> que me envia correo tendria que tener registrada la llave publica de 
> este CA tambien ???
>
> En mi postfix tls cliente tengo estos parametros, que entendi 
> inicialmente era para que pidiera validacion:
> smtp_enforce_tls = yes
> smtp_tls_enforce_peername = no
>
>
> Agradesco nuevamente su atención... y cualquier ayuda que me brinden 
> para solucionar este problemilla.
>
>
>
>
> ----------
>
> Daniel Solsona Moratiel wrote:
>
>>> Saludos señores, estoy probando TLS entre dos Postfix (uno cliente y
>>> otro servidor), cada uno tiene su propio certificado autofirmado(cada
>>> uno es su propio CA).
>>>
>>> Cuando el cliente Postfix con TLS intenta enviar un correo al servidor,
>>> no logra completar la transacción, en el log del Postfix devuelve entre
>>> otras cosas algo como:
>>>
>>> "Peer verification: CommonName in certificate does not match: lolo !=
>>> 192.168.2.6"
>>> y finalmente:
>>> "....... relay=192.168.2.6[192.168.2.6], delay=2794, status=deferred
>>> (TLS-failure: Could not verify certificate) "
>>>   
>>
>>
>>
>> Yo diría que cuandop creaste tu certificado pusiste como commonname 
>> "lolo"
>> y tu postfix ahora se esta identificando como 192.168.2.6 que es
>> totalmente distinto a lo que espera el otro postfix.
>>
>> Y si te interesa, siempre puedes conseguirte unos certificados 
>> firmados en
>> http://www.cacert.org/
>>
>> _______________________________________________
>> List de correo Postfix-es
>> Postfix-es en lists.wl0.org
>> http://lists.wl0.org/mailman/listinfo/postfix-es
>>  
>>
>
>

Más información sobre la lista de distribución Postfix-es