[postfix-users] "smtpd_tls_security_level = encrypt" und amavis

Roland Kasprzak roland_kasprzak at g18.de
Do Jun 2 13:23:52 CEST 2011 

Hallo,

ich administriere seit sechs Jahren einen Postfix-Server. Er basiert auf einem Debian-System, auf dem als IMAP-Server ein Dovecot läuft. Über Amavis ist Clamav eingebunden.
Im Log habe ich Warnungen zum "network_biopair_interop error" gefunden und die Konfiguration überprüft, die seit Jahren nur wenig geändert worden war, trotz Versionswechslen. Vor der Arbeit an der Warnung, wollte ich die Konfiguration den aktuellen Gegebenheiten anpassen.

Zur Zeit läuft ein Postfix 2.7.1. Er ist so konfiguriert, dass nur TLS-verschlüsselte Verbindungen möglich sind, unsere externe Anbindung an die Welt läuft über einen UUCP-Relay-Server. Jeder Client muss zuerst über STARTTLS eine verschlüsselte Verbindung eingehen und sich dann Authentifizieren. Das lief so seit Jahren, mit diesen Einstallungen: 

smtpd_use_tls=yes
smtpd_tls_key_file=/etc/postfix/smtpd.key
smtpd_tls_cert_file=/etc/postfix/smtpd.cert
smtpd_tls_CA_file=/etc/postfix/cacert.pem
smtpd_tls_auth_only=yes
smtpd_enforce_tls=yes

Jetzt wollte ich von "smtpd_enforce_tls=yes" zu "smtpd_tls_security_level = encrypt" wechseln, aber die Clients haben Probleme sich zu verbinden. Es gab keine anderen Änderungen. Ich fand dieses in den Logs: 

Jun  2 10:38:26 eta postfix/smtpd[17376]: connect from d063199.adsl.hansenet.de[80.171.63.199]
Jun  2 10:38:26 eta postfix/smtpd[17376]: setting up TLS connection from d063199.adsl.hansenet.de[80.171.63.199]
Jun  2 10:38:27 eta postfix/smtpd[17376]: Anonymous TLS connection established from d063199.adsl.hansenet.de[80.171.63.199]: TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits)
Jun  2 10:38:27 eta postfix/smtpd[17376]: A953B2BDA2: client=d063199.adsl.hansenet.de[80.171.63.199], sasl_method=LOGIN, sasl_username=roland_kasprzak
Jun  2 10:38:27 eta postfix/cleanup[17381]: A953B2BDA2: message-id=<20110602103822.47dc962a(at)nerthus.cps100.de>
Jun  2 10:38:27 eta postfix/qmgr[17374]: A953B2BDA2: from=<roland_kasprzak(at)g18.de>, size=590, nrcpt=1 (queue active)
Jun  2 10:38:28 eta postfix/smtpd[17376]: disconnect from d063199.adsl.hansenet.de[80.171.63.199]
Jun  2 10:38:28 eta postfix/smtpd[17385]: connect from localhost.localdomain[127.0.0.1]
Jun  2 10:38:28 eta amavis[17256]: (17256-01) Negative SMTP resp. to DATA: 530 5.7.0 Must issue a STARTTLS command first

Die Clients (Thunderbird, claws-mail, sylpheed) starten TLS  und Authentifizieren sich. Wenn die E-Mail-Daten gesendet werden, sendet Amavis den "negative SMTP respond". 

Um das zu beheben folgte ich einem Eintrag im Netz. Ich packte die Konfiguration in die master.cf unter smtp, um die Nutzung von TLS bei Amavis zu verhindern:

amavisd-new  unix   -   -       n       -       4       smtp
  -o disable_dns_lookups=yes
  -o smtp_data_done_timeout=1200
  -o smtpd_use_tls=yes
  -o smtpd_tls_key_file=/etc/postfix/smtpd.key
  -o smtpd_tls_cert_file=/etc/postfix/smtpd.cert
  -o smtpd_tls_CA_file=/etc/postfix/cacert.pem
  -o smtpd_tls_auth_only=yes
  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_loglevel=1

Die vorherige Konfiguration nahm ich aus der main.cf.

Die Amavis bezogene Konfiguration:

127.0.0.1:10025  inet   n   -   n       -       -       smtpd
  -o content_filter=
  -o local_recipient_maps=
  -o smtpd_client_restrictions=
  -o smtpd_helo_restrictions=
  -o strict_rfc_envelopes=yes
  -o mynetworks=127.0.0.0/8
  -o smtpd_use_tls=no
  -o smtpd_enforce_tls=no
  -o smtpd_tls_auth_only=no
  -o smtpd_sasl_auth_enable=no

Mit dieser Konfiguration ging gar nichts:

[11:35:31] ESMTP< 502 5.5.1 Error: command not implemented
** Fehler bei der SMTP-Sitzung
*** Fehler beim Senden der Nachricht:
502 5.5.1 Error: command not implemented:

in der mail.log steht:
Jun  2 11:34:42 eta postfix/smtpd[17636]: connect from d063199.adsl.hansenet.de[80.171.63.199]
Jun  2 11:34:43 eta postfix/smtpd[17636]: lost connection after STARTTLS from d063199.adsl.hansenet.de[80.171.63.199]
Jun  2 11:34:43 eta postfix/smtpd[17636]: disconnect from d063199.adsl.hansenet.de[80.171.63.199]

Wie kann ich "smtpd_tls_security_level = encrypt" nutzen und Amavis von TLS ausnehmen?

Vielen Dank für die Hilfe

Roland

Mehr Informationen über die Mailingliste postfix-users