Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian :

Am 21.06.2012 16:19, schrieb Werner Flamme:

...

Dr. Jürgen Vollmer [21.06.2012 15:37]:

...

Hallo allerseits,

...

ich finde in /var/log/mail öfteres Meldungen der Art:

...

certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com

...

etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl

...

das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar

Hallo Jürgen,

hilft es nicht, einen Symlink zu setzen? ln -s /etc/ssl /etc/postfix/ssl (oder ln -s /etc/ssl/certs /etc/postfix/ssl)? Das willst du nicht !

...

Auf http://www.postfix.org/TLS_README.html lese ich

"If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."

Ist das das, worum es hier geht? Also die Zeile

smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)

in die main.cf aufnehmen?

damit etablierst du ein open_relay, aber ein sicheres ;)

Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Wed, 26 Sep 2012 10:30:55 +0200 schrieb Christian :

...

Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian :

...

Am 21.06.2012 16:19, schrieb Werner Flamme:

...

Dr. Jürgen Vollmer [21.06.2012 15:37]: [...] "If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."

Ist das das, worum es hier geht? Also die Zeile

smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)

in die main.cf aufnehmen? damit etablierst du ein open_relay, aber ein sicheres ;) Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. denk einfach mal drüber nach. Jetzt konfiguriert er nur die Verwendung von TLS als Client mit dem

Am 25.09.2012 14:37, schrieb Dieter Klünter: link smtp_tls_CApath = /etc/ssl/certs

Als client noch unkritisch.

später erweitert er die Konfiguration, damit auch der smtpd TLS macht. smtpd_tls_CApath = /etc/ssl/certs

das schafft dann ein OpenRelay, weil du praktisch jeder CA vertraust. Hier sollten aber nur die CA's hin, denen du das erlauben willst. [...]

Diese Aussage stimmt so nicht. Im Verzeichnis /etc/ssl/certs liegen eigentlich nur die Zertifikate der großen Issuer, selbst openCA findest du da nicht. Den CA's dieser Issuer sollte man vertrauen, sonst funktioniert das gesamte X.500 System nicht. Die CA wird ja auch nur benötigt, um das damit das vorgelegte Service- oder Hostzertifikat zu verifizieren, eine andere Funktion hat eine CA nicht. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 25.09.2012 14:45, schrieb Dieter Klünter:

Am Thu, 21 Jun 2012 15:37:10 +0200 schrieb " Dr. Jürgen Vollmer" :

...

Hallo allerseits,

ich finde in /var/log/mail öfteres Meldungen der Art:

certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com

etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl

das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar Wie sieht denn deine main.cf aus? Verwendest du smtp.1und1.de als Relay Host? Wenn dem so ist, solltest du smtp_tls_CApath=/etc/ssl/certs sowie smtp_use_tls=yes in main.cf konfiguriern, da postfix in diesem Fall ein smtp Client ist. Hier bin voll auf deiner Seite, da auch eine entsprechende Erklärung dabei ist. Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert.

-- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 26.09.2012 17:13, schrieb Sandy Drobic:

Am 26.09.2012 10:35, schrieb Christian:

...

Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....

if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o "$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird. Wenn das falsch ist, dann mach einen BUG auf. -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Hallo Sandy, Am 26.09.2012 22:15, schrieb Sandy Drobic:

Am 26.09.2012 21:06, schrieb Christian:

...

Am 26.09.2012 17:13, schrieb Sandy Drobic:

...

Am 26.09.2012 10:35, schrieb Christian:

...

Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....

if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o "$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else

und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird.

Wenn das falsch ist, dann mach einen BUG auf.

Ich werde mir das am Wochenende genau anschauen, aber das sieht wirklich nach einem Suseconfig-Bug aus. Dieses Verhalten darf nicht gekoppelt werden.

In der Firma habe ich einige Mailserver auf Opensuse-Basis, aber diese werden natürlich schon seit Jahren immer weiter durch die Opensuse-Versionen gepflegt. Die Configfiles sind von Hand bearbeitet und werden von Suseconfig deshalb nicht angerührt.

Sandy schon neue Erkenntnisse ?

-- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org