Handwerker, Jan (IMK) [20.04.2015 15:49]:
Hallo Werner,
auch Dir vielen Dank. Den Kampf gegen TOFU habe ich auch mal geführt. Und dann habe ich frustriert aufgegeben und mitgemacht...
Sehr kontraproduktiv. Resignation ist keine Lösung.
Aber ich könnte noch...
Das Problem habe ich ja schon gefunden. yast2 an die postfix-Konfiguration heranlassen, kommentiert tlsmgr wieder aus...
Man kann mit YaST arbeiten, aber das Ergebnis muss man kontrollieren. Es ist ja nur eine grafische Oberfläche für manuell zu erledigende Aufgaben. Du kannst aber auch einen Bugzilla-Eintrag dafür erstellen, dass ein vorher aktiver Eintrag in der master.cf durch YaST wieder zum Kommentar wurde.
Wie lauten denn Deine smtp_tls_*-Parameter? Auszugsweise mal hier:
# postconf | grep smtp_tls_ smtp_tls_CApath = /etc/postfix/ssl/certs smtp_tls_cert_file = /etc/postfix/ssl/smtp.cert smtp_tls_ciphers = export smtp_tls_dcert_file = smtp_tls_dkey_file = $smtp_tls_dcert_file smtp_tls_eccert_file = smtp_tls_eckey_file = $smtp_tls_eccert_file smtp_tls_exclude_ciphers = smtp_tls_fingerprint_cert_match = smtp_tls_fingerprint_digest = md5 smtp_tls_force_insecure_host_tlsa_lookup = no smtp_tls_key_file = /etc/postfix/ssl/smtp.key smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = medium smtp_tls_mandatory_exclude_ciphers = smtp_tls_mandatory_protocols = !SSLv2 smtp_tls_note_starttls_offer = yes smtp_tls_per_site = smtp_tls_policy_maps = smtp_tls_protocols = !SSLv2 smtp_tls_scert_verifydepth = 9 smtp_tls_security_level = smtp_tls_session_cache_timeout = 3600s
Vorweg: smtp_sasl_auth_enable = yes bei mir, statt on.
Sollte denselben Effekt haben.
Zweite Bemerkung vorweg: Automatisierte Emails über web.de senden kann doch keine Geheimwissenschaft sein. Ich habe stets die Finger so weit wie möglich aus dem Verzeichnis /etc/postfix heraus gelassen, weil mir postfix ein zu mächtiges Werkzeug erschien, das potentiell großen Schaden verursachen kann. SUSE, was machst Du mit mir, dass ich hier rumfummeln soll?
Wer ein System betreibt, sollte sich damit auskennen. Mail versenden ist keine Geheimwissenschaft, mit weniger Zeilen Konfiguration ist es gemacht. Und weit weniger verwirrend, als in sendmail.cf herumzuwürgen. Ich benutze YaST gern, wenn ich Software aktualisieren will - die Abhängigkeiten sind im grafischen Interface übersichtlicher zu bearbeiten als auf der Befehlszeile. Aber Software wie Postfix konfiguriere ich lieber direkt.
Abweichungen zwischen Deiner und meiner Ausgabe von postconf | grep smpt_tls sind
+ Ich habe ein paar zusätzliche Einträge:
Die mag es geben, schließlich habe ich ja auch nur einen Auszug geschrieben.
+ Mir fehlen Einträge smtp_tls_force_insecure_host_tlsa_lookup = no
Gibt es den Parameter bei Dir überhaupt? Ich habe postfix-2.11.5-236.1.x86_64 im Einsatz. "man 8 smtp" sagt, dass er im Default auf "no" steht.
+ Mein /etc/postfix/ssl/cacerts ist ein symbolischer Link auf /etc/ssl/certs smtp_tls_CApath = /etc/postfix/ssl/cacerts
Das macht jeder wie er will :)
+ Ich habe keinen cert_file smtp_tls_cert_file =
+ Ich habe kein key_file smtp_tls_key_file =
+ Mein Loglevel ist 0 smtp_tls_loglevel = 0
+ Der folgende "no" Eintrag lautet bei Dir "yes"! smtp_tls_note_starttls_offer = no
Ich könnte natürlich key- und cert-files eintragen, aber die müssen ja auch erstellt werden. Weißt Du wie? Und was bedeutet der letzte Eintrag?
Zum Postfixen mit TLS habe ich was auf http://www.wernerflamme.net/doku.php?id=comp:pofitls geschrieben, auch, wie man die Zertifikate erstellt :) Der Eintrag smtp_tls_note_starttls_offer bewirkt, dass Postfix bei der Anmeldung STARTTLS anbietet. Suchmaschinen sind da sehr ergiebig ;) Wenn Du den Loglevel auf 1 setzt, siehst Du im Log Einträge wie Apr 21 06:23:16 sapdisk postfix/smtp[3241]: Trusted TLS connection established to imap.leipzig.ufz.de[141.65.125.146]:25: TLSv1 with cipher AES128-SHA (128/128 bits) Gruß Werner --