-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Liste, das Thema Postfix - Konfiguration hatte ich nun vor ein paar Wochen schon angefangen es ist aber etwas in den Hintergrund gekommen. Jetzt sitze ich hier wieder und bin noch etwas am stricken. Postfix mit MySQL über PAM mit Cyrus POP3 und IMAP funktioniert einwandfrei. Jetzt sind meine nächsten Schritte TLS / SSL, Spamassasin und einen oder zwei anständige Virenscanner. Fangen wir klein an: Bei TLS. Doch bei ldd sehe ich leider nichts, was beim selbstkompilierten Postfix (V 2.2.8) auf TLS oder SSL verweist. Also: Klare Antwort. Etwas googlen und schwups ... dummer Fehler ... vergessen TLS mit einzukompilieren. Schnell gemacht --- denkste. Jetzt erhalte ich beim Kompilieren mit dem Makefile, welches über make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL - -I/usr/include/mysql -DUSE_SASL_AUTH -I/usr/include/sasl -DUSE_TLS - -I/usr/include/' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre - -lsasl2 -lssl -lcrypto' erzeugt wurde zwar keinen Fehler und alles scheint perfekt zu laufen. Aber das wäre zu einfach. Beim Aufruf von postconf -m erscheint nur folgendes btree cidr environ hash mysql nis pcre proxy regexp static unix Also scheint TLS doch nicht mit kompiliert worden zu sein. In der Log-Datei /var/log/messages finde ich folgende Einträge, wenn ich versuche eine eMail über TLS zu versenden. Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: sql_select option missing Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: auxpropfunc error no mechanism available Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql Im Internet habe ich etwas in Bezug auf einen TLS-Patch gefunden, allerdings nur für Versionen die schon uralt sind. Wo könnte der Fehler liegen? Wo könnte ich genau suchen? Vielen Dank Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD1/vLNhM2b4kmzXwRAjTWAJ4+wt7RlebUJz6HADsGF2NYgEoBXgCfej7J 2LfBDpS5QXSaY+uoMd9sUhw= =EamZ -----END PGP SIGNATURE-----
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Liste,
das Thema Postfix - Konfiguration hatte ich nun vor ein paar Wochen schon angefangen es ist aber etwas in den Hintergrund gekommen. Jetzt sitze ich hier wieder und bin noch etwas am stricken.
Postfix mit MySQL über PAM mit Cyrus POP3 und IMAP funktioniert einwandfrei. Jetzt sind meine nächsten Schritte TLS / SSL, Spamassasin und einen oder zwei anständige Virenscanner.
Fangen wir klein an: Bei TLS. Doch bei ldd sehe ich leider nichts, was beim selbstkompilierten Postfix (V 2.2.8) auf TLS oder SSL verweist. Also: Klare Antwort. Etwas googlen und schwups ... dummer Fehler ... vergessen TLS mit einzukompilieren. Schnell gemacht --- denkste.
Jetzt erhalte ich beim Kompilieren mit dem Makefile, welches über
make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL - -I/usr/include/mysql -DUSE_SASL_AUTH -I/usr/include/sasl -DUSE_TLS - -I/usr/include/' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre - -lsasl2 -lssl -lcrypto'
Der Makebefehl scheint in Ordnung zu sein. Bist du auch sicher, dass du alle nötigen Devel-Pakete eingespielt hast? Das steht im TLS-README von www.postfix.org: # If the OpenSSL include files (such as ssl.h) are in directory /usr/include/openssl, and the OpenSSL libraries (such as libssl.so and libcrypto.so) are in directory /usr/lib: % make tidy # if you have left-over files from a previous build % make makefiles CCARGS="-DUSE_TLS" AUXLIBS="-lssl -lcrypto" sind die Dateien libcrypto.so, libssl.so tatsächlich in /usr/lib und befindet sich ssl.h in /usr/include/openssl? Falls nicht, dann sollten sie in openssl-devel enthalten sein. Leite die Ausgabe von make doch in eine Datei und prüfe sie, ob dort Fehlermeldungen erscheinen.
erzeugt wurde zwar keinen Fehler und alles scheint perfekt zu laufen. Aber das wäre zu einfach. Beim Aufruf von postconf -m erscheint nur folgendes
btree cidr environ hash mysql nis pcre proxy regexp static unix
Also scheint TLS doch nicht mit kompiliert worden zu sein.
Mit "postconf -m" kann nicht getestet werden, ob TLS einkompiliert ist. Das sind nur die Lookup-Mechanismen, welche Postfix unterstützt. TLS ist kein Lookup-Mechanismus.
In der Log-Datei /var/log/messages finde ich folgende Einträge, wenn ich versuche eine eMail über TLS zu versenden.
Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: sql_select option missing Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: auxpropfunc error no mechanism available Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql
Im Internet habe ich etwas in Bezug auf einen TLS-Patch gefunden, allerdings nur für Versionen die schon uralt sind.
Die kannst du getrost ignorieren. Diese Patche sind nicht mehr unterstützt seit Version 2.2.x.
Wo könnte der Fehler liegen?
openssl-devel installiert?
Wo könnte ich genau suchen?
Fehler beim Compile-Lauf übersehen? Der Makebefehl scheint es nicht zu sein. Teste einfach mal, das gesamte Source-Verzeichnis zu löschen, neu aus dem Source.tar.gz zu entpacken und dann komplett neu zu kompilieren. Ich hatte manchmal das Problem, dass "make tidy" leider nicht alles sauber hinterlassen hat und bei nachfolgenden Kompilationen Probleme gemacht hat. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Der Makebefehl scheint in Ordnung zu sein. Bist du auch sicher, dass du alle nötigen Devel-Pakete eingespielt hast? Das steht im TLS-README von www.postfix.org:
#
If the OpenSSL include files (such as ssl.h) are in directory /usr/include/openssl, and the OpenSSL libraries (such as libssl.so and libcrypto.so) are in directory /usr/lib:
% make tidy # if you have left-over files from a previous build % make makefiles CCARGS="-DUSE_TLS" AUXLIBS="-lssl -lcrypto"
Damit habe ich mir den Makebefehl auch zusammen gebaut.
sind die Dateien libcrypto.so, libssl.so tatsächlich in /usr/lib und befindet sich ssl.h in /usr/include/openssl? Falls nicht, dann sollten sie in openssl-devel enthalten sein.
Ja. Habe es gerade noch überprüft.
Leite die Ausgabe von make doch in eine Datei und prüfe sie, ob dort Fehlermeldungen erscheinen. Werde ich heute nachmittag machen.
Mit "postconf -m" kann nicht getestet werden, ob TLS einkompiliert ist. Das sind nur die Lookup-Mechanismen, welche Postfix unterstützt. TLS ist kein Lookup-Mechanismus. Gut zu wissen. Wieder etwas dazugelernt. Also kann ich das nur überprüfen mit ldd oder telnet und schauen welche algorithmen erlaubt sind?
Die kannst du getrost ignorieren. Diese Patche sind nicht mehr unterstützt seit Version 2.2.x. OK
openssl-devel installiert? Jawoll die Dame. ;-) Ist installiert. Habe ich mich auch gerade noch von überzeugt.
Fehler beim Compile-Lauf übersehen? Der Makebefehl scheint es nicht zu sein. Teste einfach mal, das gesamte Source-Verzeichnis zu löschen, neu aus dem Source.tar.gz zu entpacken und dann komplett neu zu kompilieren. Ich hatte manchmal das Problem, dass "make tidy" leider nicht alles sauber hinterlassen hat und bei nachfolgenden Kompilationen Probleme gemacht hat.
Das überprüfe ich heute nachmittag noch einmal. Vielen Dank schon einmal. Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD2Jn/NhM2b4kmzXwRAl8sAKCG+K81JjGXzbA3kWtxYvNiI0VW0QCeMv5M TnPpK1HlkzKGJy9nQ2+M5aM= =frBG -----END PGP SIGNATURE-----
Guten abend Sandy, Sandy Drobic schrieb:
Leite die Ausgabe von make doch in eine Datei und prüfe sie, ob dort Fehlermeldungen erscheinen. Fehler beim Compile-Lauf übersehen? Der Makebefehl scheint es nicht zu sein. Teste einfach mal, das gesamte Source-Verzeichnis zu löschen, neu aus dem Source.tar.gz zu entpacken und dann komplett neu zu kompilieren. Ich hatte manchmal das Problem, dass "make tidy" leider nicht alles sauber hinterlassen hat und bei nachfolgenden Kompilationen Probleme gemacht hat.
Hier die Ausgabe des make-Befehls (erzeugt mit 'make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DHAS_PCRE -DUSE_SASL_AUTH -I/usr/include/sasl -DHAS_SSL -DUSE_TLS' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre -lsasl2 -lssl -lcrypto' > postfixmake.log') Auf der Kommandozeile sind auch definitiv keine weiteren Ausgaben verzeichnet: make -f Makefile.in MAKELEVEL= Makefiles (echo "# Do not edit -- this file documents how Postfix was built for your machine."; /bin/sh makedefs) >makedefs.tmp set +e; if cmp makedefs.tmp conf/makedefs.out; then rm makedefs.tmp; \ else mv makedefs.tmp conf/makedefs.out; fi >/dev/null 2>/dev/null set -e; for i in src/util src/global src/dns src/tls src/master src/postfix src/smtpstone src/sendmail src/error src/pickup src/cleanup src/smtpd src/local src/lmtp src/trivial-rewrite src/qmgr src/oqmgr src/smtp src/bounce src/pipe src/showq src/postalias src/postcat src/postconf src/postdrop src/postkick src/postlock src/postlog src/postmap src/postqueue src/postsuper src/qmqpd src/spawn src/flush src/verify src/virtual src/proxymap src/anvil src/scache src/discard src/tlsmgr; do \ (set -e; echo "[$i]"; cd $i; rm -f Makefile; \ make -f Makefile.in Makefile MAKELEVEL=) || exit 1; \ done; [src/util] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/global] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/dns] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/tls] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/master] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postfix] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/smtpstone] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/sendmail] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/error] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/pickup] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/cleanup] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/smtpd] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/local] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/lmtp] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/trivial-rewrite] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/qmgr] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/oqmgr] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/smtp] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/bounce] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/pipe] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/showq] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postalias] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postcat] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postconf] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postdrop] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postkick] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postlock] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postlog] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postmap] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postqueue] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postsuper] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/qmqpd] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/spawn] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/flush] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/verify] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/virtual] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/proxymap] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/anvil] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/scache] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/discard] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/tlsmgr] (set -e; echo "# DO NOT EDIT"; /bin/sh ../../makedefs && cat Makefile.in) >Makefile rm -f Makefile; (cat conf/makedefs.out Makefile.in) >Makefile In der obigen ausgabe kann ich persönlich keine Fehler finden, bei Bedarf kann ich die Ausgabe von 'make install' auch mal posten. Ich teste die TLS-Funktionalität übrigens mit telnet localhost 25, melde mich per helo localhost an und tippe dann STARTTLS ein. Daraufhin erhalte ich als Rückgabe, dass das Kommando nicht existiert. So schliesse ich daraus, dass TLS nicht installiert ist. Hoffe das hier nicht der Fehler hausiert! Vielen Dank Michael
Michael Post wrote:
Guten abend Sandy,
Sandy Drobic schrieb:
Leite die Ausgabe von make doch in eine Datei und prüfe sie, ob dort Fehlermeldungen erscheinen. Fehler beim Compile-Lauf übersehen? Der Makebefehl scheint es nicht zu sein. Teste einfach mal, das gesamte Source-Verzeichnis zu löschen, neu aus dem Source.tar.gz zu entpacken und dann komplett neu zu kompilieren. Ich hatte manchmal das Problem, dass "make tidy" leider nicht alles sauber hinterlassen hat und bei nachfolgenden Kompilationen Probleme gemacht hat.
Hier die Ausgabe des make-Befehls (erzeugt mit 'make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DHAS_PCRE -DUSE_SASL_AUTH -I/usr/include/sasl -DHAS_SSL -DUSE_TLS' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre -lsasl2 -lssl -lcrypto' > postfixmake.log') Auf der Kommandozeile sind auch definitiv keine weiteren Ausgaben verzeichnet:
Übrigens hat sich in der letzten Zeit etwas geändert an der SASL-Implementation. Du musst jetzt beides angeben, um SASL einzukompilieren: -DUSE_SASL_AUTH -DUSE_CYRUS_SASL Sonst hast du kein sasl in Postfix drin.
make -f Makefile.in MAKELEVEL= Makefiles (echo "# Do not edit -- this file documents how Postfix was built for your machine."; /bin/sh makedefs) >makedefs.tmp set +e; if cmp makedefs.tmp conf/makedefs.out; then rm makedefs.tmp; \ else mv makedefs.tmp conf/makedefs.out; fi >/dev/null 2>/dev/null set -e; for i in src/util src/global src/dns src/tls src/master src/postfix src/smtpstone src/sendmail src/error src/pickup src/cleanup src/smtpd src/local src/lmtp src/trivial-rewrite src/qmgr src/oqmgr src/smtp src/bounce src/pipe src/showq src/postalias src/postcat src/postconf src/postdrop src/postkick src/postlock src/postlog src/postmap src/postqueue src/postsuper src/qmqpd src/spawn src/flush src/verify src/virtual src/proxymap src/anvil src/scache src/discard src/tlsmgr; do \ (set -e; echo "[$i]"; cd $i; rm -f Makefile; \ make -f Makefile.in Makefile MAKELEVEL=) || exit 1; \ done; [src/util] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/global] (cat ../../conf/makedefs.out Makefile.in) >Makefile
[Schnipp]
(cat ../../conf/makedefs.out Makefile.in) >Makefile [src/tlsmgr] (set -e; echo "# DO NOT EDIT"; /bin/sh ../../makedefs && cat Makefile.in) >Makefile rm -f Makefile; (cat conf/makedefs.out Makefile.in) >Makefile
In der obigen ausgabe kann ich persönlich keine Fehler finden, bei Bedarf kann ich die Ausgabe von 'make install' auch mal posten.
Die Fehler kommen, wenn, dann erst beim make, wenn Postfix tatsächlich kompiliert wird. Du kannst ja einfach mal ein "make" ausführen, ohne zu installieren.
Ich teste die TLS-Funktionalität übrigens mit telnet localhost 25, melde mich per helo localhost an und tippe dann STARTTLS ein. Daraufhin erhalte ich als Rückgabe, dass das Kommando nicht existiert.
Dafür muss natürlich auch der smptd für TLS konfiguriert sein. Wenn du kein STARTTLS in der Liste der Capabilities nach dem HELO findest, dann hat der Versuch auch keinen Sinn.
So schliesse ich daraus, dass TLS nicht installiert ist. Hoffe das hier nicht der Fehler hausiert!
Muss nicht unbedingt sein. Es kann auch sein, dass Postfix noch nicht dafür konfiguriert ist. Hier mal die Ausgabe von meinem smtpd: ldd /usr/lib/postfix/smtpd linux-gate.so.1 => (0xffffe000) libssl.so.0.9.7 => /usr/lib/libssl.so.0.9.7 (0x40023000) ^^^^^^^^^^^^^^^ libcrypto.so.0.9.7 => /usr/lib/libcrypto.so.0.9.7 (0x40054000) ^^^^^^^^^^^^^^^^^^ libmysqlclient.so.12 => /usr/lib/libmysqlclient.so.12 (0x40145000) libz.so.1 => /lib/libz.so.1 (0x4017c000) libm.so.6 => /lib/tls/libm.so.6 (0x4018d000) libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x401b0000) libpcre.so.0 => /usr/lib/libpcre.so.0 (0x401c5000) libdb-4.2.so => /usr/lib/tls/libdb-4.2.so (0x401d2000) libldap-2.2.so.7 => /usr/lib/libldap-2.2.so.7 (0x402a7000) liblber-2.2.so.7 => /usr/lib/liblber-2.2.so.7 (0x402da000) libnsl.so.1 => /lib/libnsl.so.1 (0x402e7000) libresolv.so.2 => /lib/libresolv.so.2 (0x402fd000) libc.so.6 => /lib/tls/libc.so.6 (0x40310000) libdl.so.2 => /lib/libdl.so.2 (0x40427000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x4042b000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) libpthread.so.0 => /lib/tls/libpthread.so.0 (0x4045d000) Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Am Wednesday 25 January 2006 23:29 schrieb Michael Post:
das Thema Postfix - Konfiguration hatte ich nun vor ein paar Wochen schon angefangen es ist aber etwas in den Hintergrund gekommen. Jetzt sitze ich hier wieder und bin noch etwas am stricken.
Postfix mit MySQL über PAM mit Cyrus POP3 und IMAP funktioniert einwandfrei. Jetzt sind meine nächsten Schritte TLS / SSL, Spamassasin und einen oder zwei anständige Virenscanner.
Fangen wir klein an: Bei TLS. Doch bei ldd sehe ich leider nichts, was beim selbstkompilierten Postfix (V 2.2.8) auf TLS oder SSL verweist. Also: Klare Antwort. Etwas googlen und schwups ... dummer Fehler ... vergessen TLS mit einzukompilieren. Schnell gemacht --- denkste.
Jetzt erhalte ich beim Kompilieren mit dem Makefile, welches über
make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DUSE_SASL_AUTH -I/usr/include/sasl -DUSE_TLS -I/usr/include/' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre
-I/usr/include/ssl ...
-lsasl2 -lssl -lcrypto'
erzeugt wurde zwar keinen Fehler und alles scheint perfekt zu laufen. Aber das wäre zu einfach. Beim Aufruf von postconf -m erscheint nur folgendes
btree cidr environ hash mysql nis pcre proxy regexp static unix
"postconf -m" hilft nicht mehr, seit Wietse das TLS-Zeig in Postfix integriert hat. Es war aber auch nicht ssl oder tls was da zu sehen war, sondern sdbm. Das war ein Map-Typ, der aus dem TLS-Patch kam. Den mochte Wietse aber nicht.
Also scheint TLS doch nicht mit kompiliert worden zu sein.
In der Log-Datei /var/log/messages finde ich folgende Einträge, wenn ich versuche eine eMail über TLS zu versenden.
Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: sql_select option missing Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: auxpropfunc error no mechanism available Jan 25 23:27:06 psYkoMobil postfix/smtpd[11808]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql
Das bedeutet, Du hast das Cyrus-SASL sql-Plugin installiert, aber nicht konfiguriert. Hat nix mit TLS/SSL zu tun.
Im Internet habe ich etwas in Bezug auf einen TLS-Patch gefunden, allerdings nur für Versionen die schon uralt sind. Wo könnte der Fehler liegen? Wo könnte ich genau suchen?
# ldd `postconf -h daemon_directory`/smtpd Damit würden die ssl-Libs angezeigt, das heisst aber auch nicht 100%, dass TLS drin ist. # postconf | grep tls Wäre schon etwas sinnvoller. -- Andreas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Hallo Andreas, hallo Liste, danke für Deine Erläuterungen. Jetzt ist mir zumindest der Punkt mit der Log-Datei bewusst. Andreas Winkelmann schrieb:
Am Wednesday 25 January 2006 23:29 schrieb Michael Post:
-I/usr/include/ssl ...
Habe ich nun eingebunden (an exakt die stelle die Du mir genannt hast)
"postconf -m" hilft nicht mehr, seit Wietse das TLS-Zeig in Postfix
integriert
hat. Es war aber auch nicht ssl oder tls was da zu sehen war, sondern sdbm. Das war ein Map-Typ, der aus dem TLS-Patch kam. Den mochte Wietse aber nicht.
Aha. Interessant. Und Wietse ist dann wohl der Postfix-Erfinder.
# ldd `postconf -h daemon_directory`/smtpd
Damit würden die ssl-Libs angezeigt, das heisst aber auch nicht 100%,
dass TLS
drin ist. Das ist auch so der Fall. Ich erhalte nun alle Libs die ich dachte zu benötigen - laut verschiedenster Dokus im Netz.
# postconf | grep tls
Wäre schon etwas sinnvoller. Hier die Ausgabe von "postconf | grep tls"
smtp_enforce_tls = no smtp_sasl_tls_security_options = $var_smtp_sasl_opts smtp_starttls_timeout = 300s smtp_tls_CAfile = smtp_tls_CApath = smtp_tls_cert_file = smtp_tls_cipherlist = smtp_tls_dcert_file = smtp_tls_dkey_file = $smtp_tls_dcert_file smtp_tls_enforce_peername = yes smtp_tls_key_file = $smtp_tls_cert_file smtp_tls_loglevel = 0 smtp_tls_note_starttls_offer = no smtp_tls_per_site = smtp_tls_scert_verifydepth = 5 smtp_tls_session_cache_database = smtp_tls_session_cache_timeout = 3600s smtp_use_tls = yes smtpd_enforce_tls = no smtpd_sasl_tls_security_options = $smtpd_sasl_security_options smtpd_starttls_timeout = 300s smtpd_tls_CAfile = smtpd_tls_CApath = smtpd_tls_ask_ccert = no smtpd_tls_auth_only = no smtpd_tls_ccert_verifydepth = 5 smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_cipherlist = smtpd_tls_dcert_file = smtpd_tls_dh1024_param_file = smtpd_tls_dh512_param_file = smtpd_tls_dkey_file = $smtpd_tls_dcert_file smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 2 smtpd_tls_received_header = no smtpd_tls_req_ccert = no smtpd_tls_session_cache_database = smtpd_tls_session_cache_timeout = 3600s smtpd_tls_wrappermode = no smtpd_use_tls = yes tls_daemon_random_bytes = 32 tls_random_bytes = 32 tls_random_exchange_name = ${config_directory}/prng_exch tls_random_prng_update_period = 3600s tls_random_reseed_period = 3600s tls_random_source = dev:/dev/urandom Ein Telnet localhost 25 gibt mir leider nur folgendes aus: - ---- telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250 8BITMIME - --- Eine Auflistung welche Anmelde-Verfahren zur Verfügung stehen erhalte ich leider nicht. Derzeit kann ich mir aber auch nicht ganz erklären warum - vielleicht kann man dies durch einen Parameter in der main.cf einstellen. Mit dem Kommando 'openssl s_client -starttls smtp -CApath /etc/postfix/ -connect localhost:25' erhalte ich leider nur folgende Aussage CONNECTED(00000003) 12465:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:478: Vielleicht bringt Euch das noch etwas weiter. Die Online-Tutorials sind alle sehr klasse, nur funktioniert das bei den Herren und Damen immer auf Anhieb, im Falle eines Problemes schweigen sich leider alle Tutorials - zumindest die mir bekannten sehr aus. Vielen Dank für Eure tatkräftige Unterstützung Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD3NQENhM2b4kmzXwRAv/IAKCLCJZGmXtiDicLZQNPEZPZJzmVTgCffZ/A LMbpPIgugrQ5TzIXoP+l1do= =ymfH -----END PGP SIGNATURE-----
Michael Post wrote:
Ein Telnet localhost 25 gibt mir leider nur folgendes aus: - ---- telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250 8BITMIME - ---
Solange Postfix an dieser Stelle kein STARTTLS ankündigt, kann sich auch konsequenterweise kein Client über TLS anmelden. Zeige doch mal "postconf -n". Ich gehe davon aus, dass du ein Zertifikat erstellt hast und in der Postfix-Konfiguration eingetragen hast. Poste bitte auch mal die Ausgabe von ldd /usr/lib/postfix/smtpd Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Michael Post wrote:
Solange Postfix an dieser Stelle kein STARTTLS ankündigt, kann sich auch konsequenterweise kein Client über TLS anmelden. Stop. Es ist sehr merkwürdig. Obwohl ich die ganze Zeit mit make update arbeite und NICHT mit make install um die Konfiguration nicht zu überschreiben, wird sie aber trotzdem überschrieben. Hier jetzt die Ausgabe von 'telnet localhost 25' nachdem ich meine neuen Konfigurationsdateien mit den Alten überschrieben habe.
telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME
Zeige doch mal "postconf -n". Ich gehe davon aus, dass du ein Zertifikat erstellt hast und in der Postfix-Konfiguration eingetragen hast.
Ja. Die Zertifikate sind erstellt worden und liegen im Verzeichnis /etc/postfix/certs/. Die Rechte sind drwxr-xr-x 2 root root 128 2006-01-28 19:24 certs Muss ich natürlich später auf 700 anpassen, sonst kann ja jeder die Zertifikate kopieren / lesen. psYkoMobil:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = 127.0.0.1 ::1 inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = psYkoMobil.localhost newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = yes smtpd_sasl_application_name = smtpd smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Poste bitte auch mal die Ausgabe von ldd /usr/lib/postfix/smtpd
linux-gate.so.1 => (0xffffe000) libmysqlclient.so.14 => /usr/lib/libmysqlclient.so.14 (0x4003b000) libz.so.1 => /lib/libz.so.1 (0x40141000) libm.so.6 => /lib/tls/libm.so.6 (0x40152000) libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x40175000) libpcre.so.0 => /usr/lib/libpcre.so.0 (0x4018a000) libdb-4.3.so => /usr/lib/tls/libdb-4.3.so (0x40197000) libnsl.so.1 => /lib/libnsl.so.1 (0x4027e000) libresolv.so.2 => /lib/libresolv.so.2 (0x40293000) libc.so.6 => /lib/tls/libc.so.6 (0x402a6000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x403bf000) /lib/ld-linux.so.2 (0x40000000) libdl.so.2 => /lib/libdl.so.2 (0x403f1000) libpthread.so.0 => /lib/tls/libpthread.so.0 (0x403f5000) Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD3OAHNhM2b4kmzXwRAmAGAJ9pn1ml2RDBehVEH7A5xROd1fccnwCbBlO8 B3ySmLCznM941vQ6ThAGQ24= =vpxj -----END PGP SIGNATURE-----
Am Sunday 29 January 2006 16:32 schrieb Michael Post:
Solange Postfix an dieser Stelle kein STARTTLS ankündigt, kann sich auch konsequenterweise kein Client über TLS anmelden.
Stop. Es ist sehr merkwürdig. Obwohl ich die ganze Zeit mit make update arbeite und NICHT mit make install um die Konfiguration nicht
Dokumentiert ist "make upgrade", das würde ich dann auch verwenden.
zu überschreiben, wird sie aber trotzdem überschrieben. Hier jetzt die Ausgabe von 'telnet localhost 25' nachdem ich meine neuen Konfigurationsdateien mit den Alten überschrieben habe.
telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME
Zeige doch mal "postconf -n". Ich gehe davon aus, dass du ein Zertifikat erstellt hast und in der Postfix-Konfiguration eingetragen hast.
Ja. Die Zertifikate sind erstellt worden und liegen im Verzeichnis /etc/postfix/certs/. Die Rechte sind
drwxr-xr-x 2 root root 128 2006-01-28 19:24 certs Muss ich natürlich später auf 700 anpassen, sonst kann ja jeder die Zertifikate kopieren / lesen.
psYkoMobil:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = 127.0.0.1 ::1 inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = psYkoMobil.localhost newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = yes smtpd_sasl_application_name = smtpd smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Was steht denn in der master.cf für die "smtp ... smtpd" Zeile. Wird da evtl. tls wieder disabled? Was kommt im Log (/var/log/mail), wenn Du das mit dem telnet versuchst? Evtl. tls-Fehler? BTW, hatte ich letztes mal vergessen zu fragen, wieso nimmst Du eigentlich nicht das Suse-RPM? -- Andreas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Andreas Winkelmann schrieb:
Am Sunday 29 January 2006 16:32 schrieb Michael Post:
Solange Postfix an dieser Stelle kein STARTTLS ankündigt, kann sich auch konsequenterweise kein Client über TLS anmelden. Stop. Es ist sehr merkwürdig. Obwohl ich die ganze Zeit mit make update arbeite und NICHT mit make install um die Konfiguration nicht
Dokumentiert ist "make upgrade", das würde ich dann auch verwenden.
Ok. Habe ich zwar noch nicht gelesen, sondern überall steht nur update, aber werde ich mal versuchen. Danke für die Info. Nachtrag: Das Updgrade scheint wirklich zu funktionieren. Werde ich ab sofort bei Änderungen immer verwenden. Oha. Ein Eintrag über TLS bei 'make upgrade': Skipping /usr/share/doc/packages/postfix/html/transport.5.html... Skipping /usr/share/doc/packages/postfix/html/trivial-rewrite.8.html... Skipping /usr/share/doc/packages/postfix/html/verify.8.html... Skipping /usr/share/doc/packages/postfix/html/virtual.5.html... Skipping /usr/share/doc/packages/postfix/html/virtual.8.html... Editing /etc/postfix/master.cf, adding missing entry for tlsmgr service Note: the following files or directories still exist but are no longer part of Postfix: /usr/share/man/man5/tcp_table.5 /usr/share/doc/packages/postfix/html/tcp_table.5.html Er hat eine Zeile hinzugefügt. Bin mal gespannt was nach einem Restart passiert. Jetzt gibt es sogar etwas neues!!!! psYkoMobil:/home/michael/tmp/postfix-2.2.8 # telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME STARTTLS 454 TLS not available due to local problem Diese Fehlermeldung habe ich bisher noch nicht gesehen. Bisher schrieb er immer, dass er das Kommando nicht kennt. Auszug aus /var/log/mail Jan 29 17:37:15 psYkoMobil postfix/smtpd[19015]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical Jan 29 17:37:15 psYkoMobil postfix/smtpd[19015]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual Jan 29 17:37:16 psYkoMobil postfix/smtpd[19015]: initializing the server-side TLS engine Jan 29 17:37:16 psYkoMobil postfix/smtpd[19015]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:37:16 psYkoMobil postfix/smtpd[19015]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: warning: no entropy for TLS key generation: disabling TLS support Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: connect from localhost[127.0.0.1] Jan 29 17:37:24 psYkoMobil postfix/smtpd[19015]: disconnect from localhost[127.0.0.1] Jan 29 17:37:26 psYkoMobil postfix/smtpd[19015]: connect from localhost[127.0.0.1] Jan 29 17:38:52 psYkoMobil postfix/scache[332]: statistics: start interval Jan 29 17:35:32 Jan 29 17:38:52 psYkoMobil postfix/scache[332]: statistics: domain lookup hits=0 miss=3 success=0% Jan 29 17:38:52 psYkoMobil postfix/scache[332]: statistics: address lookup hits=0 miss=3 success=0% Jan 29 17:39:00 psYkoMobil postfix/smtpd[19015]: disconnect from localhost[127.0.0.1]
zu überschreiben, wird sie aber trotzdem überschrieben. Hier jetzt die Ausgabe von 'telnet localhost 25' nachdem ich meine neuen Konfigurationsdateien mit den Alten überschrieben habe.
telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME
Zeige doch mal "postconf -n". Ich gehe davon aus, dass du ein Zertifikat erstellt hast und in der Postfix-Konfiguration eingetragen hast. Ja. Die Zertifikate sind erstellt worden und liegen im Verzeichnis /etc/postfix/certs/. Die Rechte sind
drwxr-xr-x 2 root root 128 2006-01-28 19:24 certs Muss ich natürlich später auf 700 anpassen, sonst kann ja jeder die Zertifikate kopieren / lesen.
psYkoMobil:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = 127.0.0.1 ::1 inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = psYkoMobil.localhost newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = yes smtpd_sasl_application_name = smtpd smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Was steht denn in der master.cf für die "smtp ... smtpd" Zeile. Wird da evtl. tls wieder disabled?
Was kommt im Log (/var/log/mail), wenn Du das mit dem telnet versuchst? Evtl. tls-Fehler?
Diese Datei hatte ich bisher noch nicht zu Rate gezogen in Sachen Fehlern. Auch hier. Danke für den Hinweis. Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: warning: TLS has been selected, but TLS support is not compiled in Nachtrag: Das hat sich dann wohl der fortgeschrittenen Dinge erledigt. Ja. Aber nirgends ein Hinweis, warum das nicht einkompiliert worden ist. :-(( Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: connect from localhost[127.0.0.1] Jan 29 17:11:56 psYkoMobil postfix/smtpd[14463]: lost connection after EHLO from localhost[127.0.0.1] Jan 29 17:11:56 psYkoMobil postfix/smtpd[14463]: disconnect from localhost[127.0.0.1] Nachtrag: Also scheint TLs nun einkompiliert worden zu sein und make update hat nichts bewirkt. ein make upgrade hat die Sache ans Tageslicht gebracht.
BTW, hatte ich letztes mal vergessen zu fragen, wieso nimmst Du eigentlich nicht das Suse-RPM?
Weil ich die ganze Verwaltung über MySQL mache und SuSE mal wieder nur ein minimal-rpm zur Verfügung stellt. Oder kennt Ihr ein RPM, welches MySQL, TLS, SASL, SSL zur Verfügung stellt. Dann würde ich das nutzen und mir weitere Probleme ersparen wollen. Geplant ist als nächsten dann Cyrus mit TLS zu konfigurieren Viele Grüße Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD3PCHNhM2b4kmzXwRAie7AJ9rUMFg0qs/GhjUqUZXY0cMayrbVQCfQERi kTY5vdQSVZDe/448EV459n8= =jyQ7 -----END PGP SIGNATURE-----
Am Sunday 29 January 2006 17:42 schrieb Michael Post:
psYkoMobil:/home/michael/tmp/postfix-2.2.8 # telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME STARTTLS 454 TLS not available due to local problem
Diese Fehlermeldung habe ich bisher noch nicht gesehen. Bisher schrieb er immer, dass er das Kommando nicht kennt.
Auszug aus /var/log/mail
Jan 29 17:37:15 psYkoMobil postfix/smtpd[19015]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical Jan 29 17:37:15 psYkoMobil postfix/smtpd[19015]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual
Aktualisier mal die .dbs.
Jan 29 17:37:16 psYkoMobil postfix/smtpd[19015]: initializing the server-side TLS engine Jan 29 17:37:16 psYkoMobil postfix/smtpd[19015]: warning: connect to private/tlsmgr: Connection refused
Postfix hast Du beendet und neu gestartet nach dem make upgrade? Zeig mal den tlsmgr-Eintrag aus der master.cf.
Jan 29 17:37:16 psYkoMobil postfix/smtpd[19015]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: warning: no entropy for TLS key generation: disabling TLS support Jan 29 17:37:17 psYkoMobil postfix/smtpd[19015]: connect from localhost[127.0.0.1] Jan 29 17:37:24 psYkoMobil postfix/smtpd[19015]: disconnect from localhost[127.0.0.1] Jan 29 17:37:26 psYkoMobil postfix/smtpd[19015]: connect from localhost[127.0.0.1] Jan 29 17:38:52 psYkoMobil postfix/scache[332]: statistics: start interval Jan 29 17:35:32 Jan 29 17:38:52 psYkoMobil postfix/scache[332]: statistics: domain lookup hits=0 miss=3 success=0% Jan 29 17:38:52 psYkoMobil postfix/scache[332]: statistics: address lookup hits=0 miss=3 success=0% Jan 29 17:39:00 psYkoMobil postfix/smtpd[19015]: disconnect from localhost[127.0.0.1]
Was kommt im Log (/var/log/mail), wenn Du das mit dem telnet versuchst? Evtl. tls-Fehler?
Diese Datei hatte ich bisher noch nicht zu Rate gezogen in Sachen Fehlern. Auch hier. Danke für den Hinweis.
Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: warning: TLS has been selected, but TLS support is not compiled in
Nachtrag: Das hat sich dann wohl der fortgeschrittenen Dinge erledigt.
Ja. Aber nirgends ein Hinweis, warum das nicht einkompiliert worden ist. :-((
Jan 29 17:11:54 psYkoMobil postfix/smtpd[14463]: connect from localhost[127.0.0.1] Jan 29 17:11:56 psYkoMobil postfix/smtpd[14463]: lost connection after EHLO from localhost[127.0.0.1] Jan 29 17:11:56 psYkoMobil postfix/smtpd[14463]: disconnect from localhost[127.0.0.1]
Nachtrag: Also scheint TLs nun einkompiliert worden zu sein und make update hat nichts bewirkt. ein make upgrade hat die Sache ans Tageslicht gebracht.
BTW, hatte ich letztes mal vergessen zu fragen, wieso nimmst Du eigentlich nicht das Suse-RPM?
Weil ich die ganze Verwaltung über MySQL mache und SuSE mal wieder nur ein minimal-rpm zur Verfügung stellt. Oder kennt Ihr ein RPM, welches MySQL, TLS, SASL, SSL zur Verfügung stellt. Dann würde ich das nutzen und mir weitere Probleme ersparen wollen.
Wenn Du die 10.x verwendest ist es dabei. Für ältere Versionen im Verzeichnis von Carsten zu finden. ftp.suse.com/pub/people/choeger/...
Geplant ist als nächsten dann Cyrus mit TLS zu konfigurieren
-- Andreas
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Sandy,
Sandy Drobic schrieb:
Michael Post wrote:
Solange Postfix an dieser Stelle kein STARTTLS ankündigt, kann sich auch konsequenterweise kein Client über TLS anmelden.
Stop. Es ist sehr merkwürdig. Obwohl ich die ganze Zeit mit make update arbeite und NICHT mit make install um die Konfiguration nicht zu überschreiben, wird sie aber trotzdem überschrieben. Hier jetzt die Ausgabe von 'telnet localhost 25' nachdem ich meine neuen Konfigurationsdateien mit den Alten überschrieben habe.
telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME
Hier ist sasl, aber kein TLS.
Zeige doch mal "postconf -n". Ich gehe davon aus, dass du ein Zertifikat erstellt hast und in der Postfix-Konfiguration eingetragen hast.
Ja. Die Zertifikate sind erstellt worden und liegen im Verzeichnis /etc/postfix/certs/. Die Rechte sind
drwxr-xr-x 2 root root 128 2006-01-28 19:24 certs Muss ich natürlich später auf 700 anpassen, sonst kann ja jeder die Zertifikate kopieren / lesen. psYkoMobil:/etc/postfix # postconf -n
smtpd_sasl_application_name = smtpd smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Damit sollte TSL eigentlich erscheinen als Option.
Poste bitte auch mal die Ausgabe von ldd /usr/lib/postfix/smtpd
linux-gate.so.1 => (0xffffe000) libmysqlclient.so.14 => /usr/lib/libmysqlclient.so.14 (0x4003b000) libz.so.1 => /lib/libz.so.1 (0x40141000) libm.so.6 => /lib/tls/libm.so.6 (0x40152000) libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x40175000) libpcre.so.0 => /usr/lib/libpcre.so.0 (0x4018a000) libdb-4.3.so => /usr/lib/tls/libdb-4.3.so (0x40197000) libnsl.so.1 => /lib/libnsl.so.1 (0x4027e000) libresolv.so.2 => /lib/libresolv.so.2 (0x40293000) libc.so.6 => /lib/tls/libc.so.6 (0x402a6000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x403bf000) /lib/ld-linux.so.2 (0x40000000) libdl.so.2 => /lib/libdl.so.2 (0x403f1000) libpthread.so.0 => /lib/tls/libpthread.so.0 (0x403f5000)
Hm, hier fehlt schon mal die libssl in der Liste. Prüfe bitte noch einmal, ob du, wie von Andreas gesagt, in deinem make -makefiles, das Include-Verzeichnis von ssl mit angegeben hast. Prüfe auch mal während des Compile-Laufes, ob überhaupt Meldungen erscheinen, dass TLS als Option einkompiliert wird. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Hier ist sasl, aber kein TLS.
Genau das ist ja mein Problem.
Damit sollte TSL eigentlich erscheinen als Option.
Habe ich mir auch gedacht, aber es passiert nichts.
Hm, hier fehlt schon mal die libssl in der Liste. Prüfe bitte noch einmal, ob du, wie von Andreas gesagt, in deinem make -makefiles, das Include-Verzeichnis von ssl mit angegeben hast. Prüfe auch mal während des Compile-Laufes, ob überhaupt Meldungen erscheinen, dass TLS als Option einkompiliert wird.
Hier der make -makefiles aufruf. Den Eintrag von Andreas habe ich nun hinter -DHAS_SSL gesetzt, nach meinem Verständnis hat der nichts in AUXLIBS zu suchen. psYkoMobil:/home/michael/tmp/postfix-2.2.8 # make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DHAS_PCRE - -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl -DHAS_SSL - -I/usr/include/ssl -DUSE_TLS' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz - -lm -lpcre -lsasl2 -lssl -lcrypto' make -f Makefile.in MAKELEVEL= Makefiles (echo "# Do not edit -- this file documents how Postfix was built for your machine."; /bin/sh makedefs) >makedefs.tmp set +e; if cmp makedefs.tmp conf/makedefs.out; then rm makedefs.tmp; \ else mv makedefs.tmp conf/makedefs.out; fi >/dev/null 2>/dev/null set -e; for i in src/util src/global src/dns src/tls src/master src/postfix src/smtpstone src/sendmail src/error src/pickup src/cleanup src/smtpd src/local src/lmtp src/trivial-rewrite src/qmgr src/oqmgr src/smtp src/bounce src/pipe src/showq src/postalias src/postcat src/postconf src/postdrop src/postkick src/postlock src/postlog src/postmap src/postqueue src/postsuper src/qmqpd src/spawn src/flush src/verify src/virtual src/proxymap src/anvil src/scache src/discard src/tlsmgr; do \ (set -e; echo "[$i]"; cd $i; rm -f Makefile; \ make -f Makefile.in Makefile MAKELEVEL=) || exit 1; \ done; [src/util] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/global] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/dns] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/tls] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/master] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postfix] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/smtpstone] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/sendmail] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/error] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/pickup] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/cleanup] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/smtpd] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/local] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/lmtp] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/trivial-rewrite] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/qmgr] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/oqmgr] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/smtp] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/bounce] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/pipe] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/showq] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postalias] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postcat] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postconf] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postdrop] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postkick] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postlock] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postlog] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postmap] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postqueue] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/postsuper] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/qmqpd] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/spawn] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/flush] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/verify] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/virtual] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/proxymap] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/anvil] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/scache] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/discard] (cat ../../conf/makedefs.out Makefile.in) >Makefile [src/tlsmgr] (set -e; echo "# DO NOT EDIT"; /bin/sh ../../makedefs && cat Makefile.in) >Makefile rm -f Makefile; (cat conf/makedefs.out Makefile.in) >Makefile Hier die Teil-Ausgabe von make psYkoMobil:/home/michael/tmp/postfix-2.2.8 # make > make.log ar: creating libutil.a ar: creating libglobal.a ar: creating libdns.a ar: creating libtls.a ar: creating libmaster.a Und hier die Ausgabe von psYkoMobil:/home/michael/tmp/postfix-2.2.8 # cat make.log | grep tls set -e; for i in src/util src/global src/dns src/tls src/master src/postfix src/smtpstone src/sendmail src/error src/pickup src/cleanup src/smtpd src/local src/lmtp src/trivial-rewrite src/qmgr src/oqmgr src/smtp src/bounce src/pipe src/showq src/postalias src/postcat src/postconf src/postdrop src/postkick src/postlock src/postlog src/postmap src/postqueue src/postsuper src/qmqpd src/spawn src/flush src/verify src/virtual src/proxymap src/anvil src/scache src/discard src/tlsmgr; do \ [src/tls] gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_prng_dev.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_prng_egd.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_prng_file.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_prng_exch.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_stream.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_bio_ops.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_misc.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_dh.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_rsa.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_verify.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_certkey.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_session.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_temp.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_client.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_server.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_scache.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_mgr.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tls_seed.c ar rv libtls.a tls_prng_dev.o tls_prng_egd.o tls_prng_file.o tls_prng_exch.o tls_stream.o tls_bio_ops.o tls_misc.o tls_dh.o tls_rsa.o tls_verify.o tls_certkey.o tls_session.o tls_temp.o tls_client.o tls_server.o tls_scache.o tls_mgr.o tls_seed.o a - tls_prng_dev.o a - tls_prng_egd.o a - tls_prng_file.o a - tls_prng_exch.o a - tls_stream.o a - tls_bio_ops.o a - tls_misc.o a - tls_dh.o a - tls_rsa.o a - tls_verify.o a - tls_certkey.o a - tls_session.o a - tls_temp.o a - tls_client.o a - tls_server.o a - tls_scache.o a - tls_mgr.o a - tls_seed.o ranlib libtls.a cp libtls.a ../../lib ranlib ../../lib/libtls.a for i in tls.h tls_prng.h tls_scache.h tls_mgr.h; \ cd ../../include; chmod 644 tls.h tls_prng.h tls_scache.h tls_mgr.h gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -o smtpd smtpd.o smtpd_token.o smtpd_check.o smtpd_chat.o smtpd_state.o smtpd_peer.o smtpd_sasl_proto.o smtpd_sasl_glue.o smtpd_proxy.o smtpd_xforward.o ../../lib/libmaster.a ../../lib/libtls.a ../../lib/libdns.a ../../lib/libglobal.a ../../lib/libutil.a -L/usr/lib/ -lmysqlclient -lz -lm -lpcre -lsasl2 - -lssl -lcrypto -ldb -lnsl -lresolv gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -o smtp smtp.o smtp_connect.o smtp_proto.o smtp_chat.o smtp_session.o smtp_addr.o smtp_trouble.o smtp_state.o smtp_rcpt.o smtp_sasl_proto.o smtp_sasl_glue.o smtp_reuse.o smtp_map11.o ../../lib/libmaster.a ../../lib/libtls.a ../../lib/libdns.a ../../lib/libglobal.a ../../lib/libutil.a -L/usr/lib/ -lmysqlclient - -lz -lm -lpcre -lsasl2 -lssl -lcrypto -ldb -lnsl -lresolv [src/tlsmgr] gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -c tlsmgr.c gcc -Wmissing-prototypes -Wformat -DHAS_MYSQL -I/usr/include/mysql - -DHAS_PCRE -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl - -DHAS_SSL -I/usr/include/ssl -DUSE_TLS -g -O -I. -I../../include - -DLINUX2 -o tlsmgr tlsmgr.o ../../lib/libmaster.a ../../lib/libtls.a ../../lib/libglobal.a ../../lib/libutil.a -L/usr/lib/ -lmysqlclient - -lz -lm -lpcre -lsasl2 -lssl -lcrypto -ldb -lnsl -lresolv cp tlsmgr ../../libexec Nachtrag: Das hat sich wohl jetzt alles erledigt. Schau bitte mal in den Thread von Andreas. Dort gibt es einen ganz anderen Stand. TLS war wohl nicht durch 'make update' eingetragen worden und daher nicht in Erwägung gezogen. TLS scheint jetzt drin zu sein, allerdings ohne Eintrag in der Auflistung bei telnet localhost 25. STARTTLS gibt jetzt wenigstens eine Antwort - wenn auch eine Fehlermeldung. Vielen Dank für die bisherige Hilfe Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD3PEINhM2b4kmzXwRAqT7AJ4jXjuGQfR3uqZP+3YnTZhc2E9qTwCdE16c n9XJDgssd604epbzreczBkE= =uISn -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Michael Post schrieb:
Hallo Liste,
das Thema Postfix - Konfiguration hatte ich nun vor ein paar Wochen schon angefangen es ist aber etwas in den Hintergrund gekommen. Jetzt sitze ich hier wieder und bin noch etwas am stricken. Erst einmal vielen Dank für die bisherige Hilfe von Sandy und Andreas. Also noch einmal - um Verwirrung zu vermeiden - den Stand der Dinge.
Kompiliert wurde mit ' make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DHAS_PCRE -DUSE_SASL_AUTH - -DUSE_CYRUS_SASL -I/usr/include/sasl -DHAS_SSL -I/usr/include/ssl - -DUSE_TLS' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre -lsasl2 - -lssl -lcrypto' ' 'postconf -n' gibt alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = 127.0.0.1 ::1 inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = psYkoMobil.localhost newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = yes smtpd_sasl_application_name = smtpd smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 ldd /usr/lib/postfix/smtpd gibt linux-gate.so.1 => (0xffffe000) libmysqlclient.so.14 => /usr/lib/libmysqlclient.so.14 (0x4003b000) libz.so.1 => /lib/libz.so.1 (0x40141000) libm.so.6 => /lib/tls/libm.so.6 (0x40152000) libpcre.so.0 => /usr/lib/libpcre.so.0 (0x40175000) libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x40182000) libssl.so.0.9.7 => /usr/lib/libssl.so.0.9.7 (0x40197000) libcrypto.so.0.9.7 => /usr/lib/libcrypto.so.0.9.7 (0x401c8000) libdb-4.3.so => /usr/lib/tls/libdb-4.3.so (0x402bb000) libnsl.so.1 => /lib/libnsl.so.1 (0x403a1000) libresolv.so.2 => /lib/libresolv.so.2 (0x403b6000) libc.so.6 => /lib/tls/libc.so.6 (0x403c9000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x404e2000) /lib/ld-linux.so.2 (0x40000000) libdl.so.2 => /lib/libdl.so.2 (0x40515000) libpthread.so.0 => /lib/tls/libpthread.so.0 (0x40519000) psYkoMobil:/ # cat /etc/postfix/master.cf gibt (Auskommentierte Zeilen sind entfernt worden) smtp inet n - n - - smtpd smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes submission inet n - n - - smtpd -o smtpd_tls_enforce_tls=yes -o smtpd_sasl_auth_enable=yes pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - n - - smtp relay unix - - n - - smtp -o fallback_relay= showq unix n - n - - showq error unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient} cyrus unix - n n - - pipe user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient procmail unix - n n - - pipe flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient} tlsmgr unix - - n 1000? 1 tlsmgr 'telnet localhost 25' gibt psYkoMobil:/ # telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME STARTTLS 454 TLS not available due to local problem quit 221 Bye Connection closed by foreign host. in der /var/log/mail findet sich der folgende Passus wieder Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: initializing the server-side TLS engine Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: warning: no entropy for TLS key generation: disabling TLS support Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: connect from localhost[127.0.0.1] Jan 29 17:58:30 psYkoMobil postfix/smtpd[3168]: disconnect from localhost[127.0.0.1] So. Ich hoffe hier sind jetzt alle notwendigen Infos noch einmal zusammen getragen. Vielen Dank Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFD3PThNhM2b4kmzXwRAnWsAKCCLQlaVWh10rzbmMBsYxzNqVxE9wCdEhwI 1zjzyXjYra7mhgMc5MHuI6M= =cZ2E -----END PGP SIGNATURE-----
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Michael Post schrieb:
Hallo Liste,
das Thema Postfix - Konfiguration hatte ich nun vor ein paar Wochen schon angefangen es ist aber etwas in den Hintergrund gekommen. Jetzt sitze ich hier wieder und bin noch etwas am stricken.
Erst einmal vielen Dank für die bisherige Hilfe von Sandy und Andreas. Also noch einmal - um Verwirrung zu vermeiden - den Stand der Dinge.
Kompiliert wurde mit ' make -f Makefile.init makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DHAS_PCRE -DUSE_SASL_AUTH - -DUSE_CYRUS_SASL -I/usr/include/sasl -DHAS_SSL -I/usr/include/ssl
Ich kann in den Docs auf www.postfix.org keinen Hinweis entdecken auf eine Option -DHAS_SSL. Ist das ein Versehen?
- -DUSE_TLS' 'AUXLIBS=-L/usr/lib/ -lmysqlclient -lz -lm -lpcre -lsasl2 - -lssl -lcrypto' '
Bei mir steht noch die Option drin -DHAS_DB, und Postfix verlinkt damit die Berkeley DB 4.2 von Suse 9.2. Unten sehe ich bei dir die Version 4.3. Hast du die installiert?
'postconf -n' gibt
smtp_use_tls = yes smtpd_sasl_application_name = smtpd smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/certs/CAcert.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom
Das sollte von der Konfiguration in Ordnung sein. Postfix zeigt ja jetzt auch das STARTTLS Kommando an. Ich könnte mir höchstens noch vorstellen, dass es ein Problem mit dem Zertifikat gibt, wenn es nicht im richtigen Format ist.
ldd /usr/lib/postfix/smtpd gibt
linux-gate.so.1 => (0xffffe000) libmysqlclient.so.14 => /usr/lib/libmysqlclient.so.14 (0x4003b000) libz.so.1 => /lib/libz.so.1 (0x40141000) libm.so.6 => /lib/tls/libm.so.6 (0x40152000) libpcre.so.0 => /usr/lib/libpcre.so.0 (0x40175000) libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x40182000) libssl.so.0.9.7 => /usr/lib/libssl.so.0.9.7 (0x40197000) libcrypto.so.0.9.7 => /usr/lib/libcrypto.so.0.9.7 (0x401c8000) libdb-4.3.so => /usr/lib/tls/libdb-4.3.so (0x402bb000) libnsl.so.1 => /lib/libnsl.so.1 (0x403a1000) libresolv.so.2 => /lib/libresolv.so.2 (0x403b6000) libc.so.6 => /lib/tls/libc.so.6 (0x403c9000) libcrypt.so.1 => /lib/libcrypt.so.1 (0x404e2000) /lib/ld-linux.so.2 (0x40000000) libdl.so.2 => /lib/libdl.so.2 (0x40515000) libpthread.so.0 => /lib/tls/libpthread.so.0 (0x40519000)
Sieht schon ganz gut aus, nur dass ich eben nicht weiss, wie die libdb-4.3.so da rein kommt. Hast du ein Upgrade gemacht? master.cf sieht auch in Ordnung aus.
'telnet localhost 25' gibt
psYkoMobil:/ # telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 psYkoMobil.localhost ESMTP Postfix ehlo localhost 250-psYkoMobil.localhost 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN 250 8BITMIME STARTTLS 454 TLS not available due to local problem quit 221 Bye Connection closed by foreign host.
in der /var/log/mail findet sich der folgende Passus wieder
Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: database /etc/postfix/canonical.db is older than source file /etc/postfix/canonical
postmap /etc/postfix/canonical
Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual
postmap etc/postfix/virtual
Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: initializing the server-side TLS engine Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:58:22 psYkoMobil postfix/smtpd[3168]: warning: problem talking to server private/tlsmgr: Connection refused Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: warning: connect to private/tlsmgr: Connection refused Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: warning: problem talking to server private/tlsmgr: Connection refused
Okay, DAS ist seltsam. Alle Services in master.cf sind nicht chroot. Überprüfe doch mal, dass /usr/lib/postfix/tlsmgr auch wirklicht das richtige Binary ist.
Jan 29 17:58:23 psYkoMobil postfix/smtpd[3168]: warning: no entropy for TLS key generation: disabling TLS support
Das dürfte dann die Folge von obigen Meldungen sein. Hier wäre es nicht schlecht, den Debug-Level hochzusetzen. smtpd_tls_loglevel = 2 Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
participants (3)
-
Andreas Winkelmann
-
Michael Post
-
Sandy Drobic