Qmail SMTP: TLS aber kein SSL

lynix

Registered User
Hi!

Ich habe seit kurzem ein Problem mit Qmail bzw. dessen SMTP-Daemon:

TLS-Verbindungen funktionieren einwandfrei, SSL-Verbindungen enden je nach Mailclient in einem Timeout (Thunderbird) oder einer Fehlermeldung, die besagt, die SSL-Verbindung könne nicht aufgebaut werden (Claws-Mail).

Beide SMTPs werden über xinetd gestartet:

Code:
service smtp
{
	socket_type	= stream
	protocol	= tcp
	wait		= no
	disable		= no
	user		= root
	instances	= 100
	env		= SMTPAUTH=1 END=1
	server          = /var/qmail/bin/tcp-env
	server_args     = -Rt0 /var/qmail/bin/relaylock /usr/local/bin/spamdyke -f /etc/spamdyke.conf /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}

Code:
service smtps
{
	socket_type	= stream
	protocol	= tcp
	wait		= no
	disable		= no
	user		= root
	instances	= 100
	env		= SMTPAUTH=1 END=1
	server          = /var/qmail/bin/tcp-env
	server_args     = -Rt0 /var/qmail/bin/relaylock /usr/local/bin/spamdyke -f /etc/spamdyke.conf /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}

Es handelt sich um einen Debian-Server mit Plesk 8.4. Ich musste, um spamdyke zum Greylistung verwenden zu können, von inetd auf xinetd wechseln, was aber meines Erachtens nicht die Ursache des Problems ist.

Ein Verbinden ohne Mailclient auf dem SSL-Port funktioniert:

Code:
openssl s_client -crlf -starttls smtp -connect mail.meinedomain.de:465
CONNECTED(00000003)
depth=0 /C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
verify return:1
---
Certificate chain
 0 s:/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
   i:/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFCDCCA/CgAwIBAgIESMjU4zANBgkqhkiG9w0BAQQFADCBtjELMAkGA1UEBhMC
(...)
ZnaKXwA025SpCE6UOg+f+huEbOUzhqLThqWkE9Ja5ZTIewp290XVoih5hRM=
-----END CERTIFICATE-----
subject=/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
issuer=/C=DE/ST=Germany/L=Cologne/O=Intergenia AG/OU=Internet Service Provider/CN=vsXXXXX.vserver.de/[email protected]
---
No client certificate CA names sent
---
SSL handshake has read 1632 bytes and written 485 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: 746B2C228D993BFB11A3AE5A40B1E213CE099D0D9EBB09D5C1772E0B304D8EB6
    Session-ID-ctx: 
    Master-Key: 980F5FF0835ADF4D41E5BF4B1CB995B5650FD063F18CC7EF328FAEDDD7D2BC5FE85215B78CB429678E1B81DADAF0F998
    Key-Arg   : None
    Start Time: 1234427548
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
250 8BITMIME
QUIT
DONE

An der Firewall liegt es auch nicht, die habe ich zu Testzwecken kurzzeitig deaktiviert.
Ich habe einen kompletten TCPdump (Wireshark) einer erfolgreichen und einer erfolglosen Sitzung, falls das nützlich sein könnte...


Hat jemand ne Idee, was ich noch versuchen könnte?


Vielen Dank im Voraus!

Gruß

lynix
 
Back
Top