postfix: certificate verification failed for smtp.1und1.de / /etc/postfix/ssl gibt's nicht
Hallo allerseits, ich finde in /var/log/mail öfteres Meldungen der Art: certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar Jürgen -- Dr.rer.nat. Jürgen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Dr. Jürgen Vollmer [21.06.2012 15:37]:
Hallo allerseits,
ich finde in /var/log/mail öfteres Meldungen der Art:
certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl
das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar
Hallo Jürgen, hilft es nicht, einen Symlink zu setzen? ln -s /etc/ssl /etc/postfix/ssl (oder ln -s /etc/ssl/certs /etc/postfix/ssl)? Auf http://www.postfix.org/TLS_README.html lese ich "If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory." Ist das das, worum es hier geht? Also die Zeile smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?) in die main.cf aufnehmen? Gruß Werner - -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk/jLVQACgkQk33Krq8b42OqWwCdHGI51waVg+dL9wCeX0I4PqlL WxAAn0/N5aIRXkO/swgPrJMQTX85J7Od =etQi -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21.06.2012 16:19, schrieb Werner Flamme:
Dr. Jürgen Vollmer [21.06.2012 15:37]:
Hallo allerseits,
ich finde in /var/log/mail öfteres Meldungen der Art:
certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl
das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar
Hallo Jürgen,
hilft es nicht, einen Symlink zu setzen? ln -s /etc/ssl /etc/postfix/ssl (oder ln -s /etc/ssl/certs /etc/postfix/ssl)? Das willst du nicht !
Auf http://www.postfix.org/TLS_README.html lese ich
"If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."
Ist das das, worum es hier geht? Also die Zeile
smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)
in die main.cf aufnehmen?
damit etablierst du ein open_relay, aber ein sicheres ;)
Gruß Werner
-- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian <chris@computersalat.de>:
Am 21.06.2012 16:19, schrieb Werner Flamme:
Dr. Jürgen Vollmer [21.06.2012 15:37]:
Hallo allerseits,
ich finde in /var/log/mail öfteres Meldungen der Art:
certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl
das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar
Hallo Jürgen,
hilft es nicht, einen Symlink zu setzen? ln -s /etc/ssl /etc/postfix/ssl (oder ln -s /etc/ssl/certs /etc/postfix/ssl)? Das willst du nicht !
Auf http://www.postfix.org/TLS_README.html lese ich
"If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."
Ist das das, worum es hier geht? Also die Zeile
smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)
in die main.cf aufnehmen?
damit etablierst du ein open_relay, aber ein sicheres ;)
Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 25.09.2012 14:37, schrieb Dieter Klünter:
Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian <chris@computersalat.de>:
Am 21.06.2012 16:19, schrieb Werner Flamme:
Dr. Jürgen Vollmer [21.06.2012 15:37]:
Hallo allerseits, ich finde in /var/log/mail öfteres Meldungen der Art: certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar Hallo Jürgen,
hilft es nicht, einen Symlink zu setzen? ln -s /etc/ssl /etc/postfix/ssl (oder ln -s /etc/ssl/certs /etc/postfix/ssl)? Das willst du nicht !
Auf http://www.postfix.org/TLS_README.html lese ich
"If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."
Ist das das, worum es hier geht? Also die Zeile
smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)
in die main.cf aufnehmen? damit etablierst du ein open_relay, aber ein sicheres ;) Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. denk einfach mal drüber nach. Jetzt konfiguriert er nur die Verwendung von TLS als Client mit dem link smtp_tls_CApath = /etc/ssl/certs
Als client noch unkritisch. später erweitert er die Konfiguration, damit auch der smtpd TLS macht. smtpd_tls_CApath = /etc/ssl/certs das schafft dann ein OpenRelay, weil du praktisch jeder CA vertraust. Hier sollten aber nur die CA's hin, denen du das erlauben willst. Jemandem 'raten' einen Link zu setzen ist gut und löst in vielen Fällen schnell Probleme, aber man sollte ihn dann aber auch über eventuelle Risiken aufklären, denn niemand will ein Open-Relay. -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 26 Sep 2012 10:30:55 +0200 schrieb Christian <chris@computersalat.de>:
Am Tue, 25 Sep 2012 13:33:14 +0200 schrieb Christian <chris@computersalat.de>:
Am 21.06.2012 16:19, schrieb Werner Flamme:
Dr. Jürgen Vollmer [21.06.2012 15:37]: [...] "If you want the Postfix SMTP server to accept remote SMTP client certificates issued by these CAs, append the root certificate to $smtpd_tls_CAfile or install it in the $smtpd_tls_CApath directory."
Ist das das, worum es hier geht? Also die Zeile
smtpd_tls_CApath = /etc/ssl (oder /etc/ssl/certs?)
in die main.cf aufnehmen? damit etablierst du ein open_relay, aber ein sicheres ;) Das musst du mal bitte näher erläutern, wie durch den Pfad auf die allgemeinen CA's ein offenes Relay entstehen soll. denk einfach mal drüber nach. Jetzt konfiguriert er nur die Verwendung von TLS als Client mit dem
Am 25.09.2012 14:37, schrieb Dieter Klünter: link smtp_tls_CApath = /etc/ssl/certs
Als client noch unkritisch.
später erweitert er die Konfiguration, damit auch der smtpd TLS macht. smtpd_tls_CApath = /etc/ssl/certs
das schafft dann ein OpenRelay, weil du praktisch jeder CA vertraust. Hier sollten aber nur die CA's hin, denen du das erlauben willst. [...]
Diese Aussage stimmt so nicht. Im Verzeichnis /etc/ssl/certs liegen eigentlich nur die Zertifikate der großen Issuer, selbst openCA findest du da nicht. Den CA's dieser Issuer sollte man vertrauen, sonst funktioniert das gesamte X.500 System nicht. Die CA wird ja auch nur benötigt, um das damit das vorgelegte Service- oder Hostzertifikat zu verifizieren, eine andere Funktion hat eine CA nicht. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 21 Jun 2012 15:37:10 +0200 schrieb " Dr. Jürgen Vollmer" <juergen.vollmer@informatik-vollmer.de>:
Hallo allerseits,
ich finde in /var/log/mail öfteres Meldungen der Art:
certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl
das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar
Wie sieht denn deine main.cf aus? Verwendest du smtp.1und1.de als Relay Host? Wenn dem so ist, solltest du smtp_tls_CApath=/etc/ssl/certs sowie smtp_use_tls=yes in main.cf konfiguriern, da postfix in diesem Fall ein smtp Client ist. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 25.09.2012 14:45, schrieb Dieter Klünter:
Am Thu, 21 Jun 2012 15:37:10 +0200 schrieb " Dr. Jürgen Vollmer" <juergen.vollmer@informatik-vollmer.de>:
Hallo allerseits,
ich finde in /var/log/mail öfteres Meldungen der Art:
certificate verification failed for smtp.1und1.de[.....]:25: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
etwas googeln führte mich dazu herauszufinden, dass postfix die zertifikate im Verzeichnis /etc/postfix/ssl erwartet, nur das Verzeichnis gibt's nicht, ebensowenig wie eine Datei cacerts.pem. Das Paket ca-certificates habe ich installiert, die Dateien finden sich unter /etc/ssl
das ganze ist eine SuSE 11.4 Installation. Was kann ich machen? Bin für alle Tips dankbar Wie sieht denn deine main.cf aus? Verwendest du smtp.1und1.de als Relay Host? Wenn dem so ist, solltest du smtp_tls_CApath=/etc/ssl/certs sowie smtp_use_tls=yes in main.cf konfiguriern, da postfix in diesem Fall ein smtp Client ist. Hier bin voll auf deiner Seite, da auch eine entsprechende Erklärung dabei ist. Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert.
-- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert.
Das ist falsch. Postfix im Default verwendet: smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination Diese Konfiguration berücksichtigt überhaupt nicht, welches Zertifikat du verwendest oder nicht. Deshalb ist die Mailannahme erst einmal unabhängig vom Zertifikat oder einer verschlüsselten Verbindung. Im Default ist enthalten, dass Postfix, wenn möglich, eine verschlüsselte Verbindung aufbaut. Wenn die CA nicht in smtpd_recipient_restrictions steht, kommt dies im Log (bei loglevel 1): Sep 26 16:57:30 spamkill postfix/smtp[19636]: setting up TLS connection to cluster9.us.messagelabs.com[216.82.254.227]:25 Sep 26 16:57:31 spamkill postfix/smtp[19636]: certificate verification failed for cluster9.us.messagelabs.com[216.82.254.227]:25: untrusted issuer /C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5 Sep 26 16:57:31 spamkill postfix/smtp[19636]: Untrusted TLS connection established to cluster9.us.messagelabs.com[216.82.254.227]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Dann ist es halt eine "Untrusted TLS connection", mehr nicht. Wenn die CA des Zertifikates des einliefernden Clients im smtpd_tls_capath drin ist, kommt lediglich " Trusted TLS connection established ". Das war es. Erst, wenn du mit zusätzlichen Parametern wie permit_tls_clientcerts arbeitest, dann ergibt sich die Möglichkeit eines Relays. Dann hast du deine Finger aber bereits auf der Konfig gehabt, um dies explizit zu ermöglichen! Siehe: http://www.postfix.org/postconf.5.html#permit_tls_clientcerts Sandy -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 26.09.2012 17:13, schrieb Sandy Drobic:
Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....
if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o "$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird. Wenn das falsch ist, dann mach einen BUG auf. -- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 26.09.2012 21:06, schrieb Christian:
Am 26.09.2012 17:13, schrieb Sandy Drobic:
Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....
if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o"$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else
und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird.
Wenn das falsch ist, dann mach einen BUG auf.
Ich werde mir das am Wochenende genau anschauen, aber das sieht wirklich nach einem Suseconfig-Bug aus. Dieses Verhalten darf nicht gekoppelt werden. In der Firma habe ich einige Mailserver auf Opensuse-Basis, aber diese werden natürlich schon seit Jahren immer weiter durch die Opensuse-Versionen gepflegt. Die Configfiles sind von Hand bearbeitet und werden von Suseconfig deshalb nicht angerührt. Sandy -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Sandy, Am 26.09.2012 22:15, schrieb Sandy Drobic:
Am 26.09.2012 21:06, schrieb Christian:
Am 26.09.2012 17:13, schrieb Sandy Drobic:
Am 26.09.2012 10:35, schrieb Christian:
Für "smtpd_tls_CApath" sollte man tunlichst "NICHT" /etc/ssl/certs verwenden, weil dadurch der smtpd "JEDEM" Zertifkat, welches von einer CA in "/etc/ssl/certs" ausgestellt ist, vertraut und somit Mails akzeptiert. Das ist falsch. Postfix im Default verwendet: Wir sind hier bei SuSEconfig.postfix ....
if test "$POSTFIX_SMTP_TLS_SERVER" == "yes" -o"$POSTFIX_SMTP_TLS_SERVER_LEGACY_SUPPORT" == "yes"; then $PCONF -e "smtpd_use_tls = yes" if [ -n "$POSTFIX_TLS_CAFILE" -a -s "$POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" ]; then $PCONF -e "smtpd_tls_CAfile = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CAFILE" else $PCONF -e "smtpd_tls_CApath = $POSTFIX_SSL_PATH/cacerts" fi $PCONF -e "smtpd_tls_cert_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_CERTFILE" $PCONF -e "smtpd_tls_key_file = $POSTFIX_SSL_PATH/$POSTFIX_TLS_KEYFILE" $PCONF -e "relay_clientcerts = hash:/etc/postfix/relay_ccerts" $PCONF -e "smtpd_tls_ask_ccert = yes" $PCONF -e "smtpd_tls_received_header = yes" touch -m -d "1 minute ago" $TMPDIR/main.cf CURRENT=$($PCONF -h smtpd_recipient_restrictions) $PCONF -e "smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT" else
und schaltet man also "SMTP_TLS_SERVER "EIN", und hat den smtpd_tls_CAPath = /etc/ssl/certs, dann hat man ganz schnell ein openrelay, weil durch SuSEconfig smtpd_recipient_restrictions = permit_tls_clientcerts, $CURRENT gesetzt wird.
Wenn das falsch ist, dann mach einen BUG auf.
Ich werde mir das am Wochenende genau anschauen, aber das sieht wirklich nach einem Suseconfig-Bug aus. Dieses Verhalten darf nicht gekoppelt werden.
In der Firma habe ich einige Mailserver auf Opensuse-Basis, aber diese werden natürlich schon seit Jahren immer weiter durch die Opensuse-Versionen gepflegt. Die Configfiles sind von Hand bearbeitet und werden von Suseconfig deshalb nicht angerührt.
Sandy schon neue Erkenntnisse ?
-- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Christian -
Dieter Klünter -
Dr. Jürgen Vollmer -
Sandy Drobic -
Werner Flamme