Postfix, TLS auf Debian Lenny

L

lukesky333

New Member
Hallo Leute,

ich bin neu hier und habe auch gleich mal ein recht spezielles Problem. Ich hab hier in der Firma einige recht veraltete System "geerbt" und bin fleissig dabei, diese schnellstmöglich auf den neuesten Stand zu bringen bzw. gleich komplett zu ersetzen. Leider geht das nur nach und nach und ich muss gewisse "Alt-Lasten" derweil am Laufen halten. ...so auch unserer Mail-Server... :-(

Unser aktuelles System schaut wie folgt aus:
  • Debian (Lenny) 5.0.10
  • Postfix 2.5.5
  • OpenSSL 0.9.8g

Dass man sowas nicht laufen lassen kann - dessen bin ich mir bewusst. Dennoch muss das noch laufen, bis ich den neuen Server aufgebaut habe. Und da kommen wir auch gleich zum Problem:

Code: 
Sep  7 14:16:12 mail postfix/smtpd[24139]: cluster-b.mailcontrol.com[85.115.56.190]: certificate verification depth=0 verify=1 subject=/C=US/ST=CA/L=San Diego/O=Websense INC./CN=*.mailcontrol.com
Sep  7 14:16:12 mail postfix/smtpd[24139]: SSL_accept:SSLv3 read client certificate A
Sep  7 14:16:12 mail postfix/smtpd[24139]: SSL_accept:error in SSLv3 read client key exchange A
Sep  7 14:16:12 mail postfix/smtpd[24139]: SSL_accept error from cluster-b.mailcontrol.com[85.115.56.190]: -1
Sep  7 14:16:12 mail postfix/smtpd[24139]: warning: TLS library problem: 24139:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:a_verify.c:141:
Sep  7 14:16:12 mail postfix/smtpd[24139]: warning: TLS library problem: 24139:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:a_verify.c:141:
Sep  7 14:16:12 mail postfix/smtpd[24139]: lost connection after STARTTLS from cluster-b.mailcontrol.com[85.115.56.190]
Sep  7 14:16:12 mail postfix/smtpd[24139]: disconnect from cluster-b.mailcontrol.com[85.115.56.190]

Meine erste Vermutung war, dass es mit der doch etwas "ranzigen" (alten) Version von OpenSSL zu tun hat (wie der Herr https://listi.jpberlin.de/pipermail/postfixbuch-users/2014-November/062595.html). Da Debian ja keinerlei Updates für solch alte Debian-Versionen mehr zur Verfügung stellt, habe ich OpenSSL direkt von der Source aktualisiert.
Das hat auch prima funktioniert, jedoch besteht das Problem immer noch - unverändert...

Gibt es hier jemanden vom Fach, der mir da einen Stoß in die richtige Richtung geben kann???

Vielen Dank schon mal...
 
Joe User said:
https://listi.jpberlin.de/pipermail/postfixbuch-users/2014-November/062597.html
Click to expand...
Wie ich bereits schrieb, habe ich OpenSSL manuell (sprich von Source) aktualisiert - derzeit habe ich Version 1.0.2d. Das brachte aber keinerlei Veränderung.

Joe User said:
https://listi.jpberlin.de/pipermail/postfixbuch-users/2014-November/062599.html
Click to expand...
Auch das habe ich versucht, ebenfalls erfolglos...

Mein Problem ist das Empfangen von Mails. Diese kommen von gewissen Servern nicht durch. Hier eine kleine Liste von Servern, die mit "unserem" nicht wollen:

  • cluster-d.mailcontrol.com
  • cluster-f.mailcontrol.com
  • dispatchb-eu1.ppe-hosted.com
  • magma6.ups.com
  • maild.bka.gv.at

Wie gesagt, ich hab wirklich schon einiges versucht - deshalb jetzt mein Hilfeschrei hier, in der Hoffnung auf kompetente Beiträge.
 
Last edited by a moderator:
Welche Chiffren und welches SSL/TLS verwendet deine Postfix-Konfiguration?
Hast du schon mal getestet, wie ob du dich mit openssl s_client an die von dir genannten Server verbinden kannst?
 
GwenDragon said:
Welche Chiffren und welches SSL/TLS verwendet deine Postfix-Konfiguration?
Hast du schon mal getestet, wie ob du dich mit openssl s_client an die von dir genannten Server verbinden kannst?
Click to expand...

Was genau würdest Du da wissen wollen? Hab leider von Mailserver kaum eine Ahnung - nur genug um zu wissen, dass unserer Mist ist. :p

Also wenn du mir die Befehle posten könntest, dann liefere ich Dir die Infos prompt. ;)
 
Und hast Du auch brav restlos alle von OpenSSL abhängigen Pakete rekompiliert?

Sicherlich nicht, sonst wären Dir etliche Pakete wegen inkompatibler ABI/API um die Ohren geflogen.


Bitte auf OpenSSL 0.9.8o (wie im ML-Post erwähnt) downgraden, alle abhängigen Pakete rekompilieren, System rebooten(!) und dann Rückmeldung geben.



Unabhängig davon: Bitte dringlichst alle Systeme mit Internetkontakt umgehend auf den aktuellsten Stand bringen. Cheffe ganz kräftig vors Schienbein treten nicht vergessen.
 
Ich bezweifele, dass du alles richtig kompiliert hast!

Und warum probierst du es nicht erst mal mit openssl 0.9.8o-4squeeze14?
Oder weißt du nicht wie du mit apt aus einem einem Debian-Repo installierst?
 
GwenDragon said:
Ich bezweifele, dass du alles richtig kompiliert hast!

Und warum probierst du es nicht erst mal mit openssl 0.9.8o-4squeeze14?
Oder weißt du nicht wie du mit apt aus einem einem Debian-Repo installierst?
Click to expand...

Also wie man mit apt installiert, das weiß ich schon... Aber Squeeze ist nicht Lenny, tut das trotzdem???
Wie kann ich in Lenny Pakete aus Squeeze installieren?

PS: Ein Upgrade auf Squeeze hab ich auch kurz versucht, da hat's mir aber wirklich einiges um die Ohren gehauen...
 
GwenDragon said:
Ach ich Dummkopf. Ja. Lenny. Vergiss meinen Hinweis auf das Package.

Ich meinte das Lenny-Backports.
http://archive.debian.net/lenny-backports/openssl

Aber ich bin nicht sicher, ob das andere Probleme bei dir erzeugt. Probiers.
Click to expand...

Ich könnte in der Nacht mal einen Snapshot ziehen und dann die Backports probieren... Im Notfall kann ich dann immer noch zurück... Es dürfen nur keine Mails hops gehen.

Die Backports trag ich einfach in die source.list ein oder? ...dann update und upgrade oder lieber "nur" OpenSSL upgraden?
 
Ok, hab mich da kurz eingelesen. Scheinbar installiert man hier generell einzelne Pakete, die alle deaktiviert sind. Also keine Gefahr einfach mal so alles upzugraden. ;-)

Was ich nicht so recht verstehe ist der Unterschied zwischen "sloppy" und "nicht sloppy". Soll ich gleich "sloppy" nutzen oder erstmal ohne?

Code: 
deb http://backports.debian.org/debian-backports lenny-backports   main
deb http://backports.debian.org/debian-backports lenny-backports-sloppy main

Die Abhängigkeiten kommen da aber automatisch mit oder?
 
Ich packe Extra-Repos immer in eine eigene backports.list rein.
Backports musst du dann bei apt mit Schalter -t aufrufen:
apt-get -t lenny-backports ...
 
Und was verstehst du nicht? Was hindert dich, lenny-backports zu nehmen?

Wenn du deine Fragen genauer formulieren könntest,wüsste ich eher was du wissen möchtest und was nicht klappt.
 
danton said:
Ist doch ganz einfach: von lenny-backports kannst auf squezze updaten, bei lenny-backports-sloppy brauchst du auch noch die squeeze-backports dazu.
Click to expand...

Danke, jetzt hab auch ich das verstanden. :rolleyes:

Das heißt ich kann mit lenny-backports mehr oder weniger unproblematisch OpenSSL auf eine aktuellere Version updaten und hoffen, dass damit meine Probleme verschwinden?

Sollt ich vorab das manuell installierte OpenSSL wieder "runterkratzen" oder kann ich das einfach stehenlassen, weil es ohnehin überschrieben wird?
 
You must log in or register to reply here.
Back
Top