Postfix gebruikt geen TLS - Linux en overige clients

vrijdag 20 mei 2005 22:21

Acties:

omdat het kan

Topicstarter

Hoi

De laatste paar dagen ben ik bezig geweest met een server met gentoo erop, die gebruikt gaat worden voor een mail systeem.

http://www.gentoo.org/doc/en/virt-mail-howto.xml
Deze guide heb ik gevolgd, maar zodra ik bij het telnetten in stap 6 een ehlo doe:

code:

telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.*KNIP* ESMTP Postfix
ehlo *KNIP*
250-mail.*KNIP*
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME

Het domein heb ik ff geknipt ivm privacy

Ik verwacht hier dus een startTLS te zien. Ik heb op openssl site gekeken, bij postfix en op forums.gentoo.org maar ik kom er (na een paar dagen pielen, ben tenslotte een tweaker) echt niet uit.

Zou een van jullie toevallig kunnen zeggen wat ik fout doe?

Zaram module kopen voor je glasvezelaansluiting?

vrijdag 20 mei 2005 23:48

Acties:

Onno

Geen smtpd_use_tls = yes in je main.cf?

zaterdag 21 mei 2005 00:58

Acties:

Boudewijn

omdat het kan

Topicstarter

jawel hoor:

code:

root@mail postfix # grep tls main.cf
smtpd_use_tls = yes
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/newreq.pem
smtpd_tls_cert_file = /etc/postfix/newcert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
root@mail postfix #

Heb "#smtpd_tls_auth_only = yes" ook zonder uit te commenten gedraaid... werkt ook niet.
Is het erg als ik hier de hele config neerzet, of kan ik beter even met een linkje werken? (wou idd eerst maar main.cf en master.cf neerzetten, maar het is wel heel erg veel

)

edit:
En ja, al die mail daemons gerestart en gereload na mijn edits

edit2:

dit zijn de configs (om ze hierneer te kwakken vind ik topic vervuilend, of mag dat?)
http://www.boudewijnector.com/main.cf
http://www.boudewijnector.com/master.cf

[ Voor 19% gewijzigd door Boudewijn op 21-05-2005 02:37 . Reden: reload toegevoegd ]

Zaram module kopen voor je glasvezelaansluiting?

zaterdag 21 mei 2005 07:47

Acties:

FL!PNEUS

Let's rawk!

Ik weet niet welke versie van Postfix Gentoo gebruikt, maar in Postfix 2.2 is er iets gewijzigd in de configuratie van TLS. De TLS-configuratie van mijn bak is als volgt:

code:

# TLS
#
smtp_tls_CAfile = /etc/postfix/ssl/ca.crt
smtp_tls_cert_file = /etc/postfix/ssl/postfix.crt
smtp_tls_key_file = /etc/postfix/ssl/postfix.key
smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
smtp_use_tls = yes
smtpd_tls_CAfile = /etc/postfix/ssl/ca.crt
smtpd_tls_cert_file = /etc/postfix/ssl/postfix.crt
smtpd_tls_key_file = /etc/postfix/ssl/postfix.key
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

In a dream I'm a different me with a perfect you, we fit perfectly.
And for once in my life I feel complete and I still want to ruin it.

zaterdag 21 mei 2005 11:50

Acties:

Onno

BoudewijnLinux schreef op zaterdag 21 mei 2005 @ 00:58:
code:
1
smtpd_tls_key_file = /etc/postfix/newreq.pem

Dat klinkt alsof het een CSR is, en niet je key.

zaterdag 21 mei 2005 12:48

Acties:

Boudewijn

omdat het kan

Topicstarter

mijn postfix versie (nieuwste uit Portage):

mail-mta/postfix-2.1.5-r2

Ik weet niet welke versie van Postfix Gentoo gebruikt, maar in Postfix 2.2 is er iets gewijzigd in de configuratie van TLS. De TLS-configuratie van mijn bak is als volgt:

Ga ik zo even proberen (eerst ff eten).

Dat klinkt alsof het een CSR is, en niet je key.

Volgens de guide op gentoo.org moest ik het zo doen. Ik weet dat het een UTFS vraag is, maar hoe zou jij het dan doen ? Het is namelijk zo dat ik zo langzamerhand door de bomen het bos niet meer begin te zien

Zaram module kopen voor je glasvezelaansluiting?

zaterdag 21 mei 2005 16:17

Acties:

Boudewijn

omdat het kan

Topicstarter

die newreq.pem heb ik met de volgende commands aangemaakt:

in /etc/ssl/misc
# ./CA.pl -newca
# ./CA.pl -newreq
# ./CA.pl -sign
# cp newcert.pem /etc/postfix
# cp newreq.pem /etc/postfix
# cp demoCA/cacert.pem /etc/postfix

Dus het perl script maakt hem aan; even het perl script bekijken leert ons dat:

code:

     elsif (/^-newcert$/) {
            # create a certificate
            system ("$REQ -new -x509 -keyout newreq.pem -out newreq.pem $DAYS");
            system ("$REQ -new -nodes -x509 -keyout newreq.pem -out newreq.pem $DAYS");
            $RET=$?;
            print "Certificate (and private key) is in newreq.pem\n"
        } elsif (/^-newreq$/) {
            # create a certificate request
            system ("$REQ -new -keyout newreq.pem -out newreq.pem $DAYS");
            system ("$REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS");
            $RET=$?;
            print "Request (and private key) is in newreq.pem\n";
        }

Het bestand aanmaakt, en ik heb hier braaf de manual van gentoo.org gevolgd.

Even over die config aanpassing van FL!PNEUS:

IK heb het net proberen te doen, maar mis sowieso de hele crt files (net even een locate erop gedaan

), en ik heb dus geen postfix 2.2 . Het lijkt me niet dat het daaraan ligt, maar ik ben dus echt geen expert mbt postfix.

Zaram module kopen voor je glasvezelaansluiting?

zaterdag 21 mei 2005 17:05

Acties:

Onno

BoudewijnLinux schreef op zaterdag 21 mei 2005 @ 16:17:
code:
1
            system ("$REQ -new -keyout newreq.pem -out newreq.pem $DAYS");

Met die opties zal ie je key encrypten volgens mij. Het is best mogelijk dat je geen encrypted key kunt gebruiken in postfix. Heb je een pass phrase moeten invoeren nadat ie een key gegenereerd had?

Even over die config aanpassing van FL!PNEUS:

IK heb het net proberen te doen, maar mis sowieso de hele crt files (net even een locate erop gedaan ),

Hoe die dingen heten doet er ook helemaal niet toe. Of je nou newcert.pem of postfix.crt of weer iets anders gebruikt, het gaat er alleen om dat de inhoud klopt.

[ Voor 12% gewijzigd door Onno op 21-05-2005 17:08 ]

zaterdag 21 mei 2005 19:05

Acties:

Boudewijn

omdat het kan

Topicstarter

jazeker ik heb een passphrase in moeten voeren.

Zou het nuttig zijn als ik het bestand hierneer zet? Het is dan voor gebruik onbruikbaar geworden, maar ik maak daarna wel een nieuw certificaat aan

Dit heb ik trouwens aan bestanden:

code:

root@dionysos misc # pwd ; ls
/etc/ssl/misc
CA.pl  c_hash  c_issuer  demoCA    new.cert.cert  new.cert.key  newreq.pem
CA.sh  c_info  c_name    der_chop  new.cert.csr   newcert.pem   privkey.pem

Van een aantal weet ik wel wat het is (ja ik ben bekend met PKI constructies).

zal zo na het eten even kijken hoe dat zit met die encryptie.

Zaram module kopen voor je glasvezelaansluiting?

zondag 22 mei 2005 13:59

Acties: