Am 25.09.2012 14:37, schrieb Dieter Klünter:
Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian
: Am 21.06.2012 16:19, schrieb Werner Flamme:
Dr. Jürgen Vollmer [21.06.2012 15:37]:
Hallo allerseits, ich finde in /var/log/mail öfteres Meldungen der Art: certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar Hallo Jürgen,
hilft es nicht, einen Symlink zu setzen? ln -s /etc/ssl /etc/postfix/ssl (oder ln -s /etc/ssl/certs /etc/postfix/ssl)? Das willst du nicht !
Auf http://www.postfix.org/TLS_README.html lese ich
"If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."
Ist das das, worum es hier geht? Also die Zeile
smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)
in die main.cf aufnehmen? damit etablierst du ein open_relay, aber ein sicheres ;) Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. denk einfach mal drüber nach. Jetzt konfiguriert er nur die Verwendung von TLS als Client mit dem link smtp_tls_CApath = /etc/ssl/certs
Als client noch unkritisch. später erweitert er die Konfiguration, damit auch der smtpd TLS macht. smtpd_tls_CApath = /etc/ssl/certs das schafft dann ein OpenRelay, weil du praktisch jeder CA vertraust. Hier sollten aber nur die CA's hin, denen du das erlauben willst. Jemandem 'raten' einen Link zu setzen ist gut und löst in vielen Fällen schnell Probleme, aber man sollte ihn dann aber auch über eventuelle Risiken aufklären, denn niemand will ein Open-Relay. -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org