Re: Outgoing DANE ignoriert fehlerhafte DANE Einträge
Alex JOST
jost+lists at dimejo.at
Sa Apr 11 14:10:30 CEST 2020
Am 10.04.2020 um 20:34 schrieb Christian:
> Hallo zusammen,
>
> bisher hatte ich mich bei meinem privaten E-Mail Server immer auf
> eingehende E-Mails bei DANE konzentriert. Allerlei Testtools bestätigen
> auch, dass dies funktioniert.
>
> Nun habe ich mal geschaut, ob es auch ausgehend funktioniert und
> folgendes bei havedane.net herausbekommen:
>
> Email to non-DANE domain delivered.
>
>
>
> Email to DANE domain delivered.
>
>
>
>
>
> Email to domain with invalid DANE delivered.
>
> Letzteres ist ja ehr bedenklich, da es bedeutet, dass mein Server auch
> an falsche DANE Einträge die E-Mails zustellt. Nun habe ich alle
> möglichen Seiten zur DANE Einrichtung abgeklappert und alle sind sich
> einig, dass DANE folgendermaßen konfiguriert werden soll:
>
> smtp_dns_support_level = dnssec
> smtp_tls_security_level = dane
> smtp_host_lookup = dns
>
> Dem ist auch bei mir so. Die Logs zeigen eigentlich nichts
> verdächtiges, dass einzige was mir aufgefallen ist:
>
> Apr 10 19:58:37 server docker/postfix/smtp[143]: Untrusted TLS
> connection established to
> do.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Apr 10 19:58:37 server docker/postfix/smtp[144]: Untrusted TLS
> connection established to
> dont.havedane.net[2001:1af8:4700:a118:90::7c0]:25: TLSv1.2 with cipher
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Apr 10 19:58:37 server docker/postfix/smtp[145]: Untrusted TLS
> connection established to wrong.havedane.net[5.79.70.105]:25: TLSv1.2
> with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>
> Alle Verbindungen sind untrusted, entsprechend scheint etwas
> grundlegendes falsch zu sein? Ich habe andere TLS Verbindungen geprüft
> und diese werden als Trusted angezeigt. Ehrlicherweise weiß ich nicht
> mehr wie ich nun den Fehler finden kann.
>
> Kann mir jemand hier weiter helfen? Wenn ja, welche Infos werden
> benötigt?
Postfix weiß von sich aus nicht welche Zertifikate du als
vertrauenswürdig erachtest. Deshalb musst du mit smtp_tls_CAfile bzw.
smtp_tls_CApath angeben, wo sich die vertrauenswürdigen Zertifikate
befinden.
--
Alex JOST
Mehr Informationen über die Mailingliste postfix-users