[Postfix-es] Error al tratar de enviar mail con SSL

Gorka gorkapostfix en yahoo.es
Lun Jun 2 11:34:58 CEST 2008 


> -----Mensaje original-----
> De: postfix-es-bounces en lists.wl0.org [mailto:postfix-es-
> bounces en lists.wl0.org] En Nombre de Miguel Angel Tormo Alfaro
> Enviado el: viernes, 30 de mayo de 2008 18:32
> Para: postfix-es en lists.wl0.org
> Asunto: Re: [Postfix-es] Error al tratar de enviar mail con SSL
> 
> El Miércoles, 28 de Mayo de 2008 14:38:24 Gorka escribió:
> >
> > > -----Mensaje original-----
> > > De: postfix-es-bounces en lists.wl0.org [mailto:postfix-es-
> > > bounces en lists.wl0.org] En Nombre de Miguel Angel Tormo Alfaro
> > > Enviado el: martes, 27 de mayo de 2008 19:27
> > > Para: postfix-es en lists.wl0.org
> > > Asunto: Re: [Postfix-es] Error al tratar de enviar mail con SSL
> > >
> > > El Martes, 27 de Mayo de 2008 14:00:16 Gorka escribió:
> > > > Hablamos de un servidor tipo ISP de postfix con dovecot.
> > > > Me dice “Error al efectuar operación. No se pudo conectar con
> > > localhost:
> > > > Conexión rehusada”
> > > > Lo curioso es que si para este SMTP uso la conexión segura TLS en
> > > lugar de
> > > > SSL, entonces sí que me deja enviar el correo.
> > > >
> > > > Tras crear el certificado he repetido por si acaso los comandos
> ...
> > > > chmod o= /etc/ssl/private/postfix.pem
> > > > postconf -e smtpd_tls_cert_file=/etc/ssl/certs/postfix.pem
> > > > postconf -e smtpd_tls_key_file=/etc/ssl/private/postfix.pem
> > > > .... pero sigue dándome el error sólo cuando uso una conexión
> segura
> > > con
> > > > encriptación SSL. Sin encriptación ó con TLS no hay problema.
> > > >
> > > > ¿Alguna idea?
> > > >
> > > - Cuando marcas conectar usando TLS en la mayoría de los clientes
> de
> > > correo, la sesión funciona de la siguiente manera:
> > > 	1) Se conecta al puerto 25 (si no lo has cambiado, o no usas el
> > > puerto de submission) SIN CIFRADO.
> > > 	2) Mediante un comando STARTTLS comienza la negociación del
> > > cifrado TLS. A partir de aquí, toda la comunicación va cifrada.
> > > - En cambio, cuando conectas usando SSL se entiende que el comando
> > > STARTTLS no está soportado (bien por el cliente bien por el
> servidor),
> > > por tanto se parte de la base que la conexión ya va cifrada de por
> sí.
> > > Se necesita un puerto distinto para esto, porque el 25 no va
> cifrado.
> > > Se suele usar el 465 (smtps).
> > >
> > > Esto último, lo tienes que habilitar explícitamente en tu postfix,
> mira
> > > si tienes en master.cf una línea como ésta:
> > > smtps    inet  n       -       n       -       150      smtpd -v
> > >   -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
> >
> > Gracias Miguel Ángel por contestar. Pongo la línea que me comentas y
> ....
> > nada. El mismo error ...
> >
> > “Error al efectuar operación. No se pudo conectar con localhost:
> Conexión
> > rehusada”
> >
> > .... en Evolution y uno similar en Outlook desde otra máquina que no
> es el
> > servidor ...
> >
> > “La tarea 'Enviando john en example.com' ha notificado el error
> (0x800CCC1A) :
> > 'El servidor no admite el tipo de cifrado de conexión especificado.
> Intente
> > cambiar el método de cifrado. Póngase en contacto (...).'”
> >
> > ¿Por qué no puedo enviar mensajes con encriptación SSL?
> 
> Desde una máquina linux, prueba lo siguiente:
> openssl s_client -connect ip:puerto
> 
> Donde ip es la ip del servidor y puerto en el que escucha SSL,
> normalmente el 465.

Me dice que hay conexión. Esta es la salida algo resumida:

$ openssl s_client -connect 10.0.0.55:465
CONNECTED(00000003)
depth=0 /C=ES/ST=Madrid/L=Madrid/O=NOMBRE/CN=servidor.mio.es/emailAddres
s=postmaster en mio.es
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=ES/ST=Madrid/L=Madrid/O=NOMBRE/CN=servidor.mio.es/emailAddres
s=postmaster en mio.es
verify return:1
---
Certificate chain
 0
s:/C=ES/ST=Madrid/L=Madrid/O=NOMBRE/CN=servidor.mio.es/emailAddress=postmast
er en mio.es
 
i:/C=ES/ST=Madrid/L=Madrid/O=NOMBRE/CN=servidor.mio.es/emailAddress=postmast
er en mio.es
---
Server certificate
-----BEGIN CERTIFICATE-----
HII (...) q==
-----END CERTIFICATE-----
subject=/C=ES/ST=Madrid/L=Madrid/O=NOMBRE/CN=servidor.mio.es/emailAddress=po
stmaster en mio.es
issuer=/C=ES/ST=Madrid/L=Madrid/O=NOMBRE/CN=servidor.mio.es/emailAddress=pos
tmaster en mio.es
---
No client certificate CA names sent
---
SSL handshake has read 1456 bytes and written 316 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID:
86923E977B50D7905700F03810D89156283A2E5FC0A552F27775411A430CA176
    Session-ID-ctx:
    Master-Key: 3F2 (...) E0C
    Key-Arg   : None
    Start Time: 1212397786
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
220 servidor.mio.es ESMTP Postfix (Debian/GNU)

Más información sobre la lista de distribución Postfix-es