Toon posts:

postfix : TLS werkt niet meer

Pagina: 1
Acties:

Onderwerpen

Postfix Ssl Tls

vrijdag 17 september 2010 21:23

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Hoi,

Momenteel heb ik een postfix tls issue op mijn debian doos.
TLS + SMTP heeft altijd heel netjes gewerkt tot ik een tijd geleden behoorlijk in mijn config heb lopen wroeten om er spamfiltering aan toe te voegen.
Sindsdien is TLS + SMTP niet meer werkend.

Thunderbird verbindt met de mailserver ("Mail.foo.bar is connected") en daarna timet de verbinding out.
mail.log (op de server...) is ook niet bijster informatief:

code:
1
2
3
4

Sep 17 21:14:39 mail1 postfix/smtpd[27185]: initializing the server-side TLS engine
Sep 17 21:14:39 mail1 postfix/smtpd[27185]: connect from 0xc0ff33.xs4all.nl[80.101.69.69]
Sep 17 21:16:24 mail1 postfix/smtpd[27185]: lost connection after UNKNOWN from 0xc0ff33.xs4all.nl[80.101.69.69]
Sep 17 21:16:24 mail1 postfix/smtpd[27185]: disconnect from 0xc0ff33.xs4all.nl[80.101.69.69]


Uiteraard staat het log-level op 4 (wat het maximum is voor de parameter). We zien dus dat het best even duurt voor eea een time-out krijgt: bijna 2 minuten.
De instellingen in thunderbird: SSL en zowel secure als non-secure authenticatie heb ik gebruikt.


Mijn settings van postfix qua tls.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99

mail1:/var/log# postqueue 
mail1:/var/log# postconf    | grep tls
lmtp_enforce_tls = no
lmtp_sasl_tls_security_options = $lmtp_sasl_security_options
lmtp_sasl_tls_verified_security_options = $lmtp_sasl_tls_security_options
lmtp_starttls_timeout = 300s
lmtp_tls_CAfile = 
lmtp_tls_CApath = 
lmtp_tls_cert_file = 
lmtp_tls_dcert_file = 
lmtp_tls_dkey_file = $lmtp_tls_dcert_file
lmtp_tls_enforce_peername = yes
lmtp_tls_exclude_ciphers = 
lmtp_tls_fingerprint_cert_match = 
lmtp_tls_fingerprint_digest = md5
lmtp_tls_key_file = $lmtp_tls_cert_file
lmtp_tls_loglevel = 0
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers = 
lmtp_tls_mandatory_protocols = SSLv3, TLSv1
lmtp_tls_note_starttls_offer = no
lmtp_tls_per_site = 
lmtp_tls_policy_maps = 
lmtp_tls_scert_verifydepth = 9
lmtp_tls_secure_cert_match = nexthop
lmtp_tls_security_level = 
lmtp_tls_session_cache_database = 
lmtp_tls_session_cache_timeout = 3600s
lmtp_tls_verify_cert_match = hostname
lmtp_use_tls = no
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer}
smtp_enforce_tls = no
smtp_sasl_tls_security_options = $smtp_sasl_security_options
smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
smtp_starttls_timeout = 300s
smtp_tls_CAfile = 
smtp_tls_CApath = 
smtp_tls_cert_file = 
smtp_tls_dcert_file = 
smtp_tls_dkey_file = $smtp_tls_dcert_file
smtp_tls_enforce_peername = yes
smtp_tls_exclude_ciphers = 
smtp_tls_fingerprint_cert_match = 
smtp_tls_fingerprint_digest = md5
smtp_tls_key_file = $smtp_tls_cert_file
smtp_tls_loglevel = 0
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers = 
smtp_tls_mandatory_protocols = SSLv3, TLSv1
smtp_tls_note_starttls_offer = yes
smtp_tls_per_site = 
smtp_tls_policy_maps = 
smtp_tls_scert_verifydepth = 9
smtp_tls_secure_cert_match = nexthop, dot-nexthop
smtp_tls_security_level = 
smtp_tls_session_cache_database = 
smtp_tls_session_cache_timeout = 3600s
smtp_tls_verify_cert_match = hostname
smtp_use_tls = yes
smtpd_client_new_tls_session_rate_limit = 0
smtpd_enforce_tls = no
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_starttls_timeout = 300s
smtpd_tls_CAfile = /etc/ssl/postfix/smtpd.pem
smtpd_tls_CApath = 
smtpd_tls_always_issue_session_ids = yes
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = no
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_cert_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_dcert_file = 
smtpd_tls_dh1024_param_file = 
smtpd_tls_dh512_param_file = 
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_exclude_ciphers = 
smtpd_tls_fingerprint_digest = md5
smtpd_tls_key_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_loglevel = 4
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers = 
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_received_header = yes
smtpd_tls_req_ccert = no
smtpd_tls_security_level = 
smtpd_tls_session_cache_database = 
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_wrappermode = no
smtpd_use_tls = yes
tls_daemon_random_bytes = 32
tls_export_cipherlist = ALL:+RC4:@STRENGTH
tls_high_cipherlist = ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
tls_low_cipherlist = ALL:!EXPORT:+RC4:@STRENGTH
tls_medium_cipherlist = ALL:!EXPORT:!LOW:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_random_bytes = 32
tls_random_exchange_name = ${data_directory}/prng_exch
tls_random_prng_update_period = 3600s
tls_random_reseed_period = 3600s
tls_random_source = dev:/dev/urandom

Firewalling is niet toegepast.


Uiteraard staat smtps ook in master.cf aan.


Versies:

Thunderbird: 3.0.6
Postfix: postfix_2.5.5-1.1_amd64.deb
Debian: stable


Weet iemand waar ik verstandig kan debuggen met dit verhaal?

i3 + moederbord + geheugen kopen?

vrijdag 17 september 2010 23:49

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 19:03

vanaalten

Ik heb weinig verstand van al dat ssl & tls gedoe, maar toch:

Het valt mij op dat bij jou de smtpd_tls_key, cert en CAfile hetzelfde zijn. Bij mij zijn dat drie verschillende files. Geen idee of dat er mee te maken kan hebben - het zou zomaar kunnen dat jij het *WEL* met verstand van zaken geconfigureerd hebt...

Thunderbird, mijn instelling (versie 3.1.4):
Server Type: IMAP
port: 993
Connection security: ssl/tls
authentication method: normal password.

Verder:
Stop postfix en start 'm eens. Kijk in de log file of 'ie dan misschien vage interessante klachten heeft.

zaterdag 18 september 2010 00:16

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Is dat mail.boudewijnector.nl? Die doet 't hier namelijk prima:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

$ openssl s_client -connect mx1.itpimp.nl:25 -starttls smtp 
CONNECTED(00000003)
depth=0 /C=NL/ST=Noord-Brabant/L=Esch/O=mail.boudewijnector.nl/OU=mail.boudewijnector.nl/CN=mail.boudewijnector.nl/emailAddress=beheer@boudewijnector.nl
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=NL/ST=Noord-Brabant/L=Esch/O=mail.boudewijnector.nl/OU=mail.boudewijnector.nl/CN=mail.boudewijnector.nl/emailAddress=beheer@boudewijnector.nl
verify return:1
---
Certificate chain
 0 s:/C=NL/ST=Noord-Brabant/L=Esch/O=mail.boudewijnector.nl/OU=mail.boudewijnector.nl/CN=mail.boudewijnector.nl/emailAddress=beheer@boudewijnector.nl
   i:/C=NL/ST=Noord-Brabant/L=Esch/O=mail.boudewijnector.nl/OU=mail.boudewijnector.nl/CN=mail.boudewijnector.nl/emailAddress=beheer@boudewijnector.nl
---
Server certificate
-----BEGIN CERTIFICATE-----
<certificaat>
-----END CERTIFICATE-----
subject=/C=NL/ST=Noord-Brabant/L=Esch/O=mail.boudewijnector.nl/OU=mail.boudewijnector.nl/CN=mail.boudewijnector.nl/emailAddress=beheer@boudewijnector.nl
issuer=/C=NL/ST=Noord-Brabant/L=Esch/O=mail.boudewijnector.nl/OU=mail.boudewijnector.nl/CN=mail.boudewijnector.nl/emailAddress=beheer@boudewijnector.nl
---
No client certificate CA names sent
---
SSL handshake has read 1720 bytes and written 350 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 12A7E43D76CCAC982E61F9C2A18EE3FBEFB9B2E17B8493CE2B136AB2DF5DD1CF
    Session-ID-ctx: 
    Master-Key: B65DB63F5D81FE87D031806568C5BEAF26FD7E5EFAC79015D90F3162A83AE66FC9255CB589B59AB6FA97796C6532AE5D
    Key-Arg   : None
    Start Time: 1284761699
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
220 mail.boudewijnector.nl ESMTP Postfix (Debian/GNU)


Dus dan zou 't aan thunderbird kunnen liggen.



Vanaalten: een PEM file kan zowel meerdere certificaten als keys bevatten. Hij heeft één PEM file met zowel z'n self-signed certificaat als de key ervoor.

[ Voor 3% gewijzigd door CyBeR op 18-09-2010 00:25 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 18 september 2010 02:06

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
vanaalten schreef op vrijdag 17 september 2010 @ 23:49:
Ik heb weinig verstand van al dat ssl & tls gedoe, maar toch:

Het valt mij op dat bij jou de smtpd_tls_key, cert en CAfile hetzelfde zijn. Bij mij zijn dat drie verschillende files. Geen idee of dat er mee te maken kan hebben - het zou zomaar kunnen dat jij het *WEL* met verstand van zaken geconfigureerd hebt...
Ik heb het met enig verstand gedaan, maar ben absoluut niet alwetend.
Thunderbird, mijn instelling (versie 3.1.4):
Server Type: IMAP
port: 993
Connection security: ssl/tls
authentication method: normal password.
Same here.

Verder:
Stop postfix en start 'm eens. Kijk in de log file of 'ie dan misschien vage interessante klachten heeft.
[/quote]
Nop geen klachten.
CyBeR schreef op zaterdag 18 september 2010 @ 00:16:
Is dat mail.boudewijnector.nl? Die doet 't hier namelijk prima:
Jep.
Dus dan zou 't aan thunderbird kunnen liggen.
Ook evolution borkt erover. Lijkt me dus vrij sterk, helaas.

i3 + moederbord + geheugen kopen?

zaterdag 18 september 2010 02:20

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Boudewijn schreef op zaterdag 18 september 2010 @ 02:06:
[...]

Ik heb het met enig verstand gedaan, maar ben absoluut niet alwetend.

[...]

Same here.
IMAP? :P
Ook evolution borkt erover. Lijkt me dus vrij sterk, helaas.
Je ssl library b0rked? Als 's geprobeerd met openssl vanaf dezelfde doos? En als dat ook niet werkt, een andere doos in jouw netwerk? Zoals ik al zei gaat 't vanaf mijn dozen prima dus aan je server ligt 't waarschijnlijk niet.

Doe's een tcpdump en kijk of er überhaupt TLS genegotiate wordt.

[ Voor 5% gewijzigd door CyBeR op 18-09-2010 02:21 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 18 september 2010 02:21

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
CyBeR schreef op zaterdag 18 september 2010 @ 02:20:
[...]


IMAP? :P
LOL niet wakker.
Je ssl library b0rked? Als 's geprobeerd met openssl vanaf dezelfde doos? En als dat ook niet werkt, een andere doos in jouw netwerk? Zoals ik al zei gaat 't vanaf mijn dozen prima dus aan je server ligt 't waarschijnlijk niet.
Mijn laptop (waar ook TB en evolution op staan) geeft met jouw openssl commando dezelfde output als jouw openssl commando.
Doe's een tcpdump en kijk of er überhaupt TLS genegotiate wordt.
Gebeurt, er is wel wat traffic. Heb het met wireshark gedaan vanmiddag, maar ik heb eerlijk gezegd niet helemaal een idee van hoe die handshake werkt.

[ Voor 18% gewijzigd door Boudewijn op 18-09-2010 02:22 ]

i3 + moederbord + geheugen kopen?

zaterdag 18 september 2010 02:29

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Evolution en Thunderbird onder Gentoo hebben NSS als SSL-library en níet OpenSSL.

Wellicht ligt 't daar aan?

[ Voor 18% gewijzigd door Osiris op 18-09-2010 02:30 ]

zaterdag 18 september 2010 02:43

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Het gaat om een ubuntu doos.

offtopic:
Jaaaaren geleden *was* ik gentoo-fanboy ;).



Net even de TCPdump ingekeken: er komt een pakket of 25 voorbij met TLS prut.

[ Voor 33% gewijzigd door Boudewijn op 18-09-2010 02:46 ]

i3 + moederbord + geheugen kopen?

zaterdag 18 september 2010 02:50

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Boudewijn schreef op zaterdag 18 september 2010 @ 02:43:
Het gaat om een ubuntu doos.

offtopic:
Jaaaaren geleden *was* ik gentoo-fanboy ;).
En je hebt nu braaf uitgezocht wat voor deps die packages bij Ubuntu hebben? ;)

zaterdag 18 september 2010 03:02

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Nop.

Nu wel: Inderdaad, ook NSS.

Hmm maar dat verklaart niet waarom de zaak flipt sinds ik mijn server opnieuw heb opgezet.
Heb je een idee hoe dit te tackelen? :)

i3 + moederbord + geheugen kopen?

zaterdag 18 september 2010 03:10

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Had je je client(s) al voor de volledige 100% uitgesloten m.b.v. andere TLS-servers?

zaterdag 18 september 2010 09:44

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Ik heb inderdaad een doos met SSL/TLS voor SMTP en die werkt wel (outgoing.surfnet.nl). Die gebruik ik nu maar omdat ik anders teveel gezeik heb.

i3 + moederbord + geheugen kopen?

maandag 20 september 2010 09:40

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Bump.

i3 + moederbord + geheugen kopen?

zaterdag 25 september 2010 19:48

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Schop2.

i3 + moederbord + geheugen kopen?

zaterdag 16 oktober 2010 02:21

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Ik heb de certificaten opnieuw aangemaakt volgens de O Reilly over postfix, en wat blijkt nu?
Thunderbird op mijn laptop (ubuntu64) weigert te werken met TLS, maar Evolution wel.

Het wordt met de poging wonderlijker en wonderlijker. Ook mijn ipad gebruikt TLS en dat gaat ook gewoon prima (met de standaard mail applicatie).
Ik ga morgen eens spitten in thunderbird, want dat lijkt inderdaad de boosdoener te zijn...

i3 + moederbord + geheugen kopen?

dinsdag 11 januari 2011 02:36

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Goed, het lijkt dus inderdaad aan de SSL library te liggen:

Omstandigheden:

- self-signed certs
- comodo wildcard certificaat

Thunderbird werkt niet met smtp+ssl op:

- windows
- linux

Mijn ipad en iphone daarentegen werken er prima mee.
TLS + poort 25 gebruiken is niet mogelijk, 2 van de netwerken die ik vaak gebruik (thuis, crappy ISP en eduroam-netwerken) hebben poort 25 dicht staan.

Het ligt aan de mailserver, als ik de mailserver van SURFnet gebruik werkt het dus wel.

Iemand een idee hoe dit netjes op te lossen? Niet alleen voor mij alleen maar ook voor eventuele derden die gebruik maken van mijn mailserver.

i3 + moederbord + geheugen kopen?

dinsdag 11 januari 2011 08:31

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 19:03

vanaalten

Ik ga je niet helpen, want heb er geen verstand van, maar: vanwaar die conclusie dat het aan de mailserver / SSL library ligt?
Als ik het topic zo even doorkijk, dan heb je geen problemen als je de clients van de iPad/iPhone gebruikt, en ook Evolution doet het goed, enkel met Thunderbird gaat het mis. Je zou nog eens wat andere clients kunnen uittesten om het nog wat meer te isoleren, maar van wat ik zo zie lijkt Thunderbird mij een eerdere verdachte dan een SSL library op de server. Of denk ik nu verkeerd?

dinsdag 11 januari 2011 08:42

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 19:15

DiedX

Ik weet dat debian niet altijd linkte naar OpenSSL. Zou thunderbird dat gedaan hebben, en evolution gelinkt zijn naar GnuTLS?

Volgens mij kan je dat zien met ldd -d?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 16 januari 2011 15:38

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Thunderbird is geen dynamische executable, dus ldd gaat niet werken. Grmbl. Nog ideeen? :)
Ik ga je niet helpen, want heb er geen verstand van, maar: vanwaar die conclusie dat het aan de mailserver / SSL library ligt?
Als ik het topic zo even doorkijk, dan heb je geen problemen als je de clients van de iPad/iPhone gebruikt, en ook Evolution doet het goed, enkel met Thunderbird gaat het mis. Je zou nog eens wat andere clients kunnen uittesten om het nog wat meer te isoleren, maar van wat ik zo zie lijkt Thunderbird mij een eerdere verdachte dan een SSL library op de server. Of denk ik nu verkeerd?
Jep thunderbird is de verdachte ;).

i3 + moederbord + geheugen kopen?

zondag 16 januari 2011 16:44

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Boudewijn schreef op zondag 16 januari 2011 @ 15:38:
Thunderbird is geen dynamische executable, dus ldd gaat niet werken. Grmbl. Nog ideeen? :)


[...]
Jep thunderbird is de verdachte ;).
Probeer `ldd /usr/lib64/thunderbird/thunderbird-bin` eens ;) /usr/bin/thunderbird is een scriptje en verwijst naar andere scriptjes die bovenstaande aanstuurt.

[ Voor 13% gewijzigd door Osiris op 16-01-2011 16:45 ]

zondag 16 januari 2011 16:52

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Zowel thunderbird als evolution gebruikt libssl dus openssl.

i3 + moederbord + geheugen kopen?

maandag 17 januari 2011 22:58

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 19:03

vanaalten

Ik ga, ondanks m'n onbekendheid met de materie, toch even doorzeuren:

Mijn systeem:
Server met Debian 'Squeeze'' (aka 'testing'); Postfix 2.7.1 (nieuwer dan wat jij gebruikt)
Client met Ubuntu 10.10; Thunderbird 3.1.7 (jij zal ondertussen wel dezelfde versie gebruiken)

Ik heb echter in Thunderbird de SMTP connection setting op 'Starttls' staan, niet op ssl/tls. Daarmee kan ik probleemloos mail verzenden, en zie ik in de logfile van Postfix de nodige meldingen die suggereren dat er TLS encryptie plaats vindt.

Nou moet ik sowieso zeggen dat ik het hele SSL, TLS en STARTTLS verhaal behoorlijk verwarrend vind, zeker omdat ik daarbij het gevoel heb dat diverse applicaties weer eigen omschrijvingen gebruiken, maar toch:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: connect from dsl-xxx-.solcon.nl[my.ip.adr.ess]
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: setting up TLS connection from dsl-xxx-.solcon.nl[my.ip.adr.ess]
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: dsl-xxx-.solcon.nl[my.ip.adr.ess]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:before/accept initialization
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 read client hello B
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 write server hello A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 write certificate A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 write key exchange A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 write server done A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 flush data
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 read client key exchange A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 read finished A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 write change cipher spec A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 write finished A
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: SSL_accept:SSLv3 flush data
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: dsl-xxx-.solcon.nl[my.ip.adr.ess]: save session E593...895F&s=submission to smtpd cache
Jan 17 22:37:03 vanaalten postfix/tlsmgr[22259]: put smtpd session id=E593...895F&s=submission [data 127 bytes]
Jan 17 22:37:03 vanaalten postfix/tlsmgr[22259]: write smtpd TLS cache entry E593...895F&s=submission: time=1295300223 [data 127 bytes]
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: Anonymous TLS connection established from dsl-xxx-.solcon.nl[my.ip.adr.ess]: SSLv3 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: D08E4877F8: client=dsl-xxx-.solcon.nl[my.ip.adr.ess], sasl_method=PLAIN, sasl_username=my-user-name
Jan 17 22:37:03 vanaalten postfix/cleanup[22330]: D08E4877F8: message-id=<4D34B67F.8030609@my-servername>
Jan 17 22:37:03 vanaalten postfix/qmgr[22248]: D08E4877F8: from=<me@my-servername>, size=972, nrcpt=1 (queue active)
Jan 17 22:37:03 vanaalten dkimproxy.out[1339]: connect from 127.0.0.1 
Jan 17 22:37:03 vanaalten postfix/smtpd[22322]: disconnect from dsl-xxx-.solcon.nl[my.ip.adr.ess]
Jan 17 22:37:03 vanaalten postfix/smtpd[22332]: initializing the server-side TLS engine
Jan 17 22:37:03 vanaalten postfix/smtpd[22332]: connect from localhost[127.0.0.1]
Jan 17 22:37:03 vanaalten postfix/smtp[22331]: discarding EHLO keywords: 8BITMIME STARTTLS
Jan 17 22:37:03 vanaalten postfix/smtpd[22332]: EA08C877FB: client=dsl-xxx-.solcon.nl[my.ip.adr.ess]
Jan 17 22:37:04 vanaalten dkimproxy.out[1339]: DKIM signing - signed; message-id=<4D34B67F.8030609@my-servername>, signer=<...>, from=<...> 
Jan 17 22:37:04 vanaalten postfix/cleanup[22330]: EA08C877FB: message-id=<4D34B67F.8030609@my-servername>
Jan 17 22:37:04 vanaalten postfix/qmgr[22248]: EA08C877FB: from=<...>, size=1888, nrcpt=1 (queue active)
Jan 17 22:37:04 vanaalten postfix/smtp[22331]: D08E4877F8: to=<...>, relay=127.0.0.1[127.0.0.1]:10028, delay=0.3, delays=0.04/0.02/0.06/0.18, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as EA08C877FB)
Jan 17 22:37:04 vanaalten postfix/qmgr[22248]: D08E4877F8: removed
Jan 17 22:37:04 vanaalten postfix/smtpd[22332]: disconnect from localhost[127.0.0.1]

... tenzij ik het niet geheel snap (goed mogelijk...) doe ik hier toch netjes een TLS encrypted mail naar de server sturen - zie regels 2 & 19.

Ofwel: is het wel strikt noodzakelijk om in Thunderbird bij de SMTP instelling 'SSL/TLS' in te stellen?
(als ik dat trouwens wel doe, zie ik wel precies hetzelfde als jij: verbinden, dan timeout en hetzelfde in de postfix log)

(daarnaast kan je in Postfix nog aangeven dat je password authenticatie *alleen* maar over TLS wil, 'smtpd_tls_auth_only = yes')

Edit:
Als ik vanuit Evolution een mail verstuur, met TLS Encryption bij security level voor het verzenden, dan ziet de logfile er hetzelfde uit. Is Evolution's "TLS Encryption" misschien hetzelfde als Thunderbird's "STARTTLS"?

maandag 17 januari 2011 23:12

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
vanaalten schreef op maandag 17 januari 2011 @ 22:58:
Ik ga, ondanks m'n onbekendheid met de materie, toch even doorzeuren:
You're welcome :). Altijd leuk als mensen meedenken!
Als ik de tls-guru was had ik dit volgens mij al lang opgelost :+.
Mijn systeem:
Server met Debian 'Squeeze'' (aka 'testing'); Postfix 2.7.1 (nieuwer dan wat jij gebruikt)
Client met Ubuntu 10.10; Thunderbird 3.1.7 (jij zal ondertussen wel dezelfde versie gebruiken)
Jep. Ik zit nu even achter een windows machine, maar wel met TBird 3.1.7. Deze vertoont momenteel nog dezelfde problemen.
Postfix is 2.5.5 en ik ben van plan debian stable te blijven draaien als dat kan. Domweg omdat het (meeste) werkt. Een eventuele postfix update is mogelijk maar liever niet dus.
Ik heb echter in Thunderbird de SMTP connection setting op 'Starttls' staan, niet op ssl/tls. Daarmee kan ik probleemloos mail verzenden, en zie ik in de logfile van Postfix de nodige meldingen die suggereren dat er TLS encryptie plaats vindt.
Dat klopt maar starttls is vziw (!) SSL encrypted verkeer, na een TLS handshake, over poort 25.
Prima de bima plan, maar mijn ISP blokkeert poort 25, encrypted of niet.
Edit:
Als ik vanuit Evolution een mail verstuur, met TLS Encryption bij security level voor het verzenden, dan ziet de logfile er hetzelfde uit. Is Evolution's "TLS Encryption" misschien hetzelfde als Thunderbird's "STARTTLS"?
Volgens mij wel: starttls maakt het mogelijk om in een gewoon protocol (SMTP over poort 25) over te schakelen op encryptie. Prima, maar gezien die firewall van mijn ISP werkt dat helaas niet.

i3 + moederbord + geheugen kopen?

dinsdag 18 januari 2011 01:32

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Boudewijn schreef op maandag 17 januari 2011 @ 23:12:
[...]
Dat klopt maar starttls is vziw (!) SSL encrypted verkeer, na een TLS handshake, over poort 25.
Prima de bima plan, maar mijn ISP blokkeert poort 25, encrypted of niet.
STARTTLS is niet gelimiteerd tot poort 25. Het is gewoon een methode om een cleartext verbinding te upgraden naar TLS. Dat werkt even goed over poort 587 of over poort 1337 of wat je maar wilt.

Overigens is 't TLS-encrypted, SSL is een oudere standaard.

[ Voor 6% gewijzigd door CyBeR op 18-01-2011 01:33 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 18 januari 2011 01:51

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Klopt je kunt het zelfs voor andere dingen dan SMTP gebruiken inderdaad.

Maar, als ik het op 465 ga doen breek ik de SSL compatibility en dat wil ik ook weer niet (als in: daar verwacht men SSL op).
Mischien ga ik het dan maar op een compleet andere poort draaien, dat is ook nog wel een optie... maar 465+SSL werkend krijgen zou eigenlijk veel mooier zijn.

i3 + moederbord + geheugen kopen?

dinsdag 18 januari 2011 02:34

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Boudewijn schreef op dinsdag 18 januari 2011 @ 01:51:
Klopt je kunt het zelfs voor andere dingen dan SMTP gebruiken inderdaad.

Maar, als ik het op 465 ga doen breek ik de SSL compatibility en dat wil ik ook weer niet (als in: daar verwacht men SSL op).
Mischien ga ik het dan maar op een compleet andere poort draaien, dat is ook nog wel een optie... maar 465+SSL werkend krijgen zou eigenlijk veel mooier zijn.
Wat dacht je van 587?

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 18 januari 2011 02:36

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Wait whut die kende ik nog helemaal niet :D.
Nice, dat gaan we eens aanzetten.

i3 + moederbord + geheugen kopen?

dinsdag 18 januari 2011 02:42

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
CyBeR: je bent een baas. Bravo.
Op 587 met STARTTLS werkt het nu prima vanuit Thunderbird :).

Alle magic zat hem in het enablen van :

code:
1
2
3
4
5

submission inet n      -       n       -       -       smtpd
        -o smtpd_etrn_restrictions=reject
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps    inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

Waarbij die onderste regel ook nog uitgecomment stond by default.

i3 + moederbord + geheugen kopen?

dinsdag 18 januari 2011 08:15

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 19:03

vanaalten

Yep, hier (nou ja, bij mij thuis) draait het ook op 587...

dinsdag 18 januari 2011 18:51

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Laatst online: 19:03

vanaalten

Overigens is het bij mij enigzins toeval dat ik het verzenden van mail via poort 587 gaat: een tijd geleden heb ik DomainKeys/DKIM signing toegevoegd aan het mailsysteem volgens o.a. deze HowTo. Het idee is dat je in je maildomein DNS een public key plaatst en je e-mail m.b.v. een private key gaat sign-en. Ontvangende mailservers kunnen daarmee met zekerheid vaststellen dat een ontvangen mail daadwerkelijk van jouw systeem af komt - o.a. Yahoo en Gmail gebruiken dat, zodat de kans groter is dat jouw mail niet in een spambak terecht komt.

Het is nogal off-topic voor hier, maar wellicht dat het interessant is voor anderen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq