[postfix-users] Submission port

Matthias Schmidt beta at admilon.net
Sa Mär 24 11:39:38 CET 2012


Hallo Patrick,

erstmal Danke :-)

Am 22.03.2012 um 17:20 schrieb Patrick Ben Koetter:

> * Matthias Schmidt <beta at admilon.net>:
>> Guten Abend Patrick,
>> 
>> Am 19.03.2012 um 17:08 schrieb Patrick Ben Koetter:
>> 
>>> Guten Morgen Matthias,
>>> 
>>> * Matthias Schmidt <beta at admilon.net>:
>>>> ich hab noch einen ... bevor ich jetzt anfange zu graben, frag erstmal:
>>>> Mail and submission port alternativ mit und ohne TLS, sollte ja gehen.
>>>> Hab's aber nicht hinbekommen mit meinem Datenbank Modul.
>>>> Mit SSL: Verbindung verweigert, das Ding kann wahrscheinlich kein TLS ...
>>>> Ohne SSL Login Fehler (TLS und Verschlüsselung stand auf may .. be ;-) Ich
>>>> hab's wieder rausgemacht, also bitte nicht auf die letzten configs gucken,
>>>> die ich gepostet hab, da steht wieder muss muss drin.
>>> 
>>> sende bitte mal "postconf -n" auf die Liste und erzähl wie Du die Architektur
>>> (Postfix, Welches SASL, Datenbank) haben willst. Dann sehe ich mir das an. :)
>> 
>> Danke :-)
>> also ich programier grad an einer 4D smtp Komponente, die Komponente hängt von einem Plugin ab, dass von 4D kommt.
>> Das geht soweit auch alles ganz gut (25 und SSL 465), bis auf das Senden auf 587.
> 
> Sieh mal in die master.cf hinein. Da steht für 'submission' sicherlich etwas
> in der Art:
> 
> # ==========================================================================
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> # ==========================================================================
> smtp      inet  n       -       -       -       -       smtpd
> submission inet n       -       -       -       -       smtpd
>  -o smtpd_tls_security_level=encrypt
>  -o smtpd_sasl_auth_enable=yes
>  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>  -o milter_macro_daemon_name=ORIGINATING
> 
> Das bedeutet, dass der smtpd-Server auf 587 nicht nur TLS, sondern auch SMTP
> AUTH erwartet. Ausserdem erwartet der Server, dass die Session zwingend in TLS
> geführt wird.


Ja, so in etwas hab ich das da drin ausser dem Milter Macro (das muss ich noch ausprobieren).
Meine Frage war ja, wo muss ich schrauben, damit beides funktioniert, also mal mit und mal ohne TLS.
Geht smtpd_tls_security_level=may ?
Gruss und noch ein schönes Wochenende
Matthias


> 
> Um da hineinzusehen, solltest Du das openssl s_client Kommando bemühen:
> 
> openssl s_client -CAfile /etc/certificates/mcgregor.admilon.net.476EFD153EAF1C131C9885854A44E5635D465588.chain.pem \
>        -starttls smtp -connect mcgregor.admilon.net:587
> 
> Damit kannst Du die TLS Session bzw. ihre Fehler debuggen. Wenn da am Ende ein
> "Verify return code" den Wert 0 zurückliefert, ist die Verbindung im Grunde
> korrekt und Dein Problem ist nicht der Postfix smtpd-Server auf dem submission
> Port.
> 
> Eine korrekte TLS-Session sieht so aus:
> 
> ---
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 2048 bit
> Secure Renegotiation IS supported
> Compression: zlib compression
> Expansion: zlib compression
> SSL-Session:
>    Protocol  : TLSv1
>    Cipher    : DHE-RSA-AES256-SHA
>    Session-ID: 451BAEC3BFEB2B5B70C3215D4BE988DF0A42A1D992440AA8CF1E41B3B4B511AD
>    Session-ID-ctx: 
>    Master-Key: FE9703C1A20A8FBA03CB6438F17069A08F50BB6A1F2E922525052CE082AC5D862836FFB8EE407F45349F377BACC89307
>    Key-Arg   : None
>    TLS session ticket:
>    0000 - c1 54 49 59 90 19 fa 98-2a 96 2c e3 26 cf 3f 1f   .TIY....*.,.&.?.
>    0010 - d1 7c 0a b0 c0 49 ce 54-ea 12 df d6 aa 9d 33 a4   .|...I.T......3.
>    0020 - 9a 42 95 ed c7 9f 72 c0-8d 6e fa 9c ef 4b 6d 3b   .B....r..n...Km;
>    0030 - a3 c0 8e 81 25 d3 4e 79-02 87 1b c4 1d c4 3d 2c   ....%.Ny......=,
>    0040 - 82 3b 2d 2a d9 a1 26 42-a2 14 d3 87 73 f6 3a 81   .;-*..&B....s.:.
>    0050 - c9 6c 2b 7e 5a 1a bf 12-51 69 60 65 a8 6d 60 df   .l+~Z...Qi`e.m`.
>    0060 - d1 5c 3f e1 19 15 1b e1-6e 7b 1d e2 6a 62 56 3d   .\?.....n{..jbV=
>    0070 - 80 e6 f9 23 4a d1 78 46-f8 90 3c bd 01 ac 8a d0   ...#J.xF..<.....
>    0080 - 96 85 67 ad ef 48 7f c4-5d 66 49 3b 0a ad 81 a2   ..g..H..]fI;....
>    0090 - 81 db f1 16 e8 db 10 08-18 1d 10 b9 ef 0a 9a 19   ................
> 
>    Compression: 1 (zlib compression)
>    Start Time: 1332404241
>    Timeout   : 300 (sec)
>    Verify return code: 0 (ok)
> 
> 
>> In der Zwischenzeit weiss ich, dass es nicht mit TLS 1.1 geht, soll aber mit 1.0 funktionieren.
>> Mit meiner derzeitigen Einstellung (s.u.) geht es derzeit nicht (TLS ist erforderlich auf 587) (Fehler 61 - Verbindung verweigert)
>> Wenn ich die Einstellung enforce auf no stelle und kommt dann ein Loginfehler.
>> Das ganze ist ein Apple System (10.6.8. Server) mit OpenDirectory.
>> Die Komponente soll am Ende mit any-server funktionieren.
>> Ich werd da heut nicht mehr weiter graben, aber morgen ;-)
>> Grüsse aus Japan
>> Matthias
>> 
>> hier mein postconf -n:
> 
> Ich kürze mal ab, weil die Ausgabe gefühlt jede Postfix Option listet. Hast Du
> das alles eingebaut? War das schon so?
> 
> p at rick
> 
> 
> -- 
> state of mind ()
> Digitale Kommunikation
> 
> http://www.state-of-mind.de
> 
> Franziskanerstraße 15      Telefon +49 89 3090 4664
> 81669 München              Telefax +49 89 3090 4666
> 
> Amtsgericht München        Partnerschaftsregister PR 563
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users



Mehr Informationen über die Mailingliste postfix-users