it-swarm.com.de

Wie behebe ich postfix TLS?

Anmerkung Obwohl all dies unten vielleicht lehrreich ist, stellte sich heraus, dass mein gesamtes Problem nicht mit Postfix, sondern mit meinem ISP zu tun hatte. Tatsächlich habe ich in der fraglichen Zeit den ISP gewechselt, und mein neuer ISP hat unverschlüsselten SMTP-Verkehr so ​​abgefangen und neu geschrieben, dass STARTTLS explizit unterbrochen wird. Ich habe das Problem umgangen, indem ich auf Port 465 eine reine TLS-Verbindung eingerichtet habe.


STARTTLS hat heute früher mit meinem System gearbeitet. Ohne dass ich das System in irgendeiner Weise veränderte, brach es spontan zusammen. Ich habe jetzt versucht, es für ein paar Stunden zu beheben, ohne Erfolg.

Wenn ich eine Verbindung zum Server herstelle, erhalte ich Folgendes:

[email protected]:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to [email protected]:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.savannidgerinel.com.
Escape character is '^]'.
220 ***********************************************
ehlo dude
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-XXXXXXXA
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
^]close

telnet> close
Connection closed.

Okay, offensichtlich ist STARTTLS in dieser Liste nicht vorhanden. Also habe ich meine Konfigurationsdateien durchgearbeitet und die Tutorials noch einmal durchgearbeitet, und das hat mir überhaupt nicht gut getan. Hier ist meine tls-bezogene Konfiguration:

smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtpd_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtpd_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

tls_random_source = dev:/dev/urandom

Alle Zertifikatdateien sind vorhanden, der private Schlüssel des Servers ist vorhanden, die Server-Zertifizierungsstelle ist vorhanden und die Dateien smtpd_scache.db und smtp_scache.db sind beide vorhanden. Alle sind für den Postfix-Benutzer zugänglich. Apropos, hier laufen die Prozesse:

[email protected]:/var/lib/postfix$ ps aux | grep postfix
root      3525  0.0  0.1  25112  1680 ?        Ss   20:19   0:00 /usr/lib/postfix/master
postfix   3526  0.0  0.1  27176  1524 ?        S    20:19   0:00 pickup -l -t fifo -u -c -o content_filter= -o receive_override_options=no_header_body_checks
postfix   3527  0.0  0.1  27228  1552 ?        S    20:19   0:00 qmgr -l -t fifo -u
postfix   3528  0.0  0.4  46948  4144 ?        S    20:19   0:00 smtpd -n smtp -t inet -u -c -o stress= -s 2
postfix   3529  0.0  0.1  27176  1628 ?        S    20:19   0:00 proxymap -t unix -u
postfix   3530  0.0  0.3  38212  3176 ?        S    20:19   0:00 tlsmgr -l -t unix -u -c
postfix   3531  0.0  0.1  27176  1516 ?        S    20:19   0:00 anvil -l -t unix -u -c
postfix   3535  0.0  0.1  27188  1544 ?        S    20:20   0:00 trivial-rewrite -n rewrite -t unix -u -c

Die Protokolldateien sagen absolut nichts über TLS aus, außer dies:

Nov  6 02:19:45 apps postfix/master[3525]: daemon started -- version 2.9.6, configuration /etc/postfix
Nov  6 02:19:49 apps postfix/smtpd[3528]: initializing the server-side TLS engine
Nov  6 02:19:49 apps postfix/tlsmgr[3530]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Nov  6 02:19:49 apps postfix/tlsmgr[3530]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Nov  6 02:19:49 apps postfix/smtpd[3528]: connect from unknown[204.16.68.108]

Weder syslog noch mail.err weisen auf ein Problem hin. Für das gesamte System ist alles in Ordnung. Da es aber kein STARTTLS gibt, kann ich plötzlich keine any E-Mails mehr senden.

Hilfe???

1

von main.cf

Für mehr Informationen: smtp_tls_note_starttls_offer = yes

auskommentieren oder entfernen:

smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem

"Konfigurieren Sie Client-Zertifikate nur, wenn Sie Client-TLS-Zertifikate einem oder mehreren Servern präsentieren müssen. Client-Zertifikate werden normalerweise nicht benötigt und können Probleme in Konfigurationen verursachen, die ohne sie gut funktionieren. Die empfohlene Einstellung ist, die Standardeinstellungen beizubehalten."

Konfiguration neu laden oder Postfix neu starten.

Ich habe deinen Server getestet:

EHLO apps.savannidgerinel.com
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY 250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Es bietet 250-STARTTLS. Also fängt etwas Ihren Datenverkehr auf Port 25 wie ein Proxy ab. Es kann sich um eine beliebige Art von Firewall oder einen erweiterten Router handeln, der über eine derart erweiterte Funktionalität verfügt, dass Ihr lokaler Computer eine Verbindung über herstellt. Wenn Sie keine Firewall oder keinen fortgeschrittenen Router haben, ist es höchstwahrscheinlich eine Antispam-Richtlinie Ihres Internetdienstanbieters, um zu verhindern, dass Spam aus dessen IP-Bereichen stammt. Im schlimmsten Fall macht jemand ein Mann in der Mitte angreifen.

3