Hallo zusammen,
ich betreibe hier einen lokalen Mailserver (Kolab3 mit Postfix) der meinen Webserver als Relay benutzt. Das klappt auch, allerdings sendet mein lokaler Server unverschlüsselt.
Beim Webserver (Server4You) handelt es sich um ein "Debian 6.0.7" mit selbst signiertem Zertifikat.
Die offizielle Seite:
http://www.postfix.org/TLS_README.html
habe ich mir angeschaut aber lösen konnte ich damit mein Problem noch nicht.
Zunächst habe ich mal einen ganz trivialen Test gemacht und mein KDE-Kontact direkt an den externen Mailserver angebunden:
SSL, Port 465, PLAIN, gleiche Zugangsdaten wie der lokale Postfix
Bei senden der ersten Mail kam die Warnung dass das Zertifikat selbst signiert ist und ich konnte es dauerhaft akzeptieren. Danach konnte ich senden.
Der Schritt, ein selbst signiertes Zertifikat zu akzeptieren, ist ja dem Postfix nicht möglich. Also muss ich doch das Zertifikat vom Webserver kopieren, oder?
Ich habe einfach am Webserver in der main.cf nach der Zeile:
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
geschaut und diese Datei auf meinen lokalen Mailserver übertragen. Hier habe ich sie mit smtp_tls_cert_file referenziert.
Hier der gesamte Teil betreffend des Relay:
Wenn ich nun eine Mail sende finde ich im Logfile:
Er bemängelt zwar das "self-signed certificate" aber die Ausgabe von: "Untrusted TLS connection established to mail.meinedomain.de" lässt doch auf eine verschlüsselte Verbindung schließen, oder?
Nun wollte ich im nächsten Schritt das verschlüsseln der Verbindung erzwingen:
Dann werden die Mails jedoch nicht mehr versendet und im Logfile finde ich den Hinweis:
"TLS is required, but was not offered by host 127.0.0.1"
Hier verstehe ich die Logik nicht. Konfiguriere ich "tls wenn möglich" macht er es und ändere ich es auf "erzwinge tls" klappt es nicht mehr.
Oder habe ich hier einen Denkfehler?
Gruß
pixel
ich betreibe hier einen lokalen Mailserver (Kolab3 mit Postfix) der meinen Webserver als Relay benutzt. Das klappt auch, allerdings sendet mein lokaler Server unverschlüsselt.
Beim Webserver (Server4You) handelt es sich um ein "Debian 6.0.7" mit selbst signiertem Zertifikat.
Die offizielle Seite:
http://www.postfix.org/TLS_README.html
habe ich mir angeschaut aber lösen konnte ich damit mein Problem noch nicht.
Zunächst habe ich mal einen ganz trivialen Test gemacht und mein KDE-Kontact direkt an den externen Mailserver angebunden:
SSL, Port 465, PLAIN, gleiche Zugangsdaten wie der lokale Postfix
Bei senden der ersten Mail kam die Warnung dass das Zertifikat selbst signiert ist und ich konnte es dauerhaft akzeptieren. Danach konnte ich senden.
Der Schritt, ein selbst signiertes Zertifikat zu akzeptieren, ist ja dem Postfix nicht möglich. Also muss ich doch das Zertifikat vom Webserver kopieren, oder?
Ich habe einfach am Webserver in der main.cf nach der Zeile:
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
geschaut und diese Datei auf meinen lokalen Mailserver übertragen. Hier habe ich sie mit smtp_tls_cert_file referenziert.
Hier der gesamte Teil betreffend des Relay:
Code:
relayhost = [mail.meindomain.de]
smtp_tls_security_level = may
smtp_tls_cert_file = /etc/ssl/certs/postfix_default.pem
smtp_tls_loglevel = 1
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_mechanism_filter = plain, login
smtp_sasl_security_options =Wenn ich nun eine Mail sende finde ich im Logfile:
Code:
Aug 19 17:04:40 kolab postfix/smtp[3209]: setting up TLS connection to mail.meinedomain.de[xx.xx.xx.xx]:25
Aug 19 17:04:40 kolab postfix/smtp[3209]: certificate verification failed for mail.meinedomain.de[xx.xx.xx.xx]:25: self-signed certificate
Aug 19 17:04:40 kolab postfix/smtp[3209]: Untrusted TLS connection established to mail.meinedomain.de[xx.xx.xx.xx]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Aug 19 17:04:40 kolab postfix/smtp[3209]: 224D61202C0: to=<ich@gmail.com>, relay=mail.meinedomain.de[xx.xx.xx.xx]:25, delay=0.51, delays=0.08/0.03/0.19/0.21, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 28546CD0012)Er bemängelt zwar das "self-signed certificate" aber die Ausgabe von: "Untrusted TLS connection established to mail.meinedomain.de" lässt doch auf eine verschlüsselte Verbindung schließen, oder?
Nun wollte ich im nächsten Schritt das verschlüsseln der Verbindung erzwingen:
Code:
smtp_tls_security_level = encryptDann werden die Mails jedoch nicht mehr versendet und im Logfile finde ich den Hinweis:
"TLS is required, but was not offered by host 127.0.0.1"
Hier verstehe ich die Logik nicht. Konfiguriere ich "tls wenn möglich" macht er es und ändere ich es auf "erzwinge tls" klappt es nicht mehr.
Oder habe ich hier einen Denkfehler?
Gruß
pixel