NotizObwohl all das unten stehende vielleicht aufschlussreich ist, stellte sich heraus, dass mein gesamtes Problem nicht bei Postfix, sondern bei meinem ISP lag. Ich habe in der fraglichen Zeit tatsächlich den ISP gewechselt, und mein neuer fängt unverschlüsselten SMTP-Verkehr ab und schreibt ihn auf eine Weise um, die STARTTLS ausdrücklich verletzt. Ich habe das Problem umgangen, indem ich eine reine TLS-Verbindung auf Port 465 eingerichtet habe.
STARTTLS funktionierte heute mit meinem System. Ohne dass ich das System in irgendeiner Weise verändert hätte, ist es spontan kaputtgegangen. Ich versuche jetzt seit ein paar Stunden, es zu reparieren, ohne Erfolg.
Wenn ich mich mit dem Server verbinde, erhalte ich Folgendes:
savanni@Orolo:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.sasavanni@Orolo:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.savannidgerinel.com.
Escape character is '^]'.
220 ***********************************************
ehlo dude
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-XXXXXXXA
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
^]close
telnet> close
Connection closed.
Okay, STARTTLS ist offensichtlich nicht in dieser Liste enthalten. Ich habe also meine Konfigurationsdateien durchsucht und die Tutorials noch einmal durchgearbeitet, aber das hat mir überhaupt nichts genützt. Hier ist meine TLS-bezogene Konfiguration:
smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtpd_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtpd_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_random_source = dev:/dev/urandom
Alle Zertifikatsdateien sind vorhanden, der private Schlüssel des Servers ist vorhanden, die Server-CA ist vorhanden und die Dateien smtpd_scache.db und smtp_scache.db sind beide vorhanden. Alle sind für den Postfix-Benutzer zugänglich. Apropos, hier sind die laufenden Prozesse:
savanni@apps:/var/lib/postfix$ ps aux | grep postfix
root 3525 0.0 0.1 25112 1680 ? Ss 20:19 0:00 /usr/lib/postfix/master
postfix 3526 0.0 0.1 27176 1524 ? S 20:19 0:00 pickup -l -t fifo -u -c -o content_filter= -o receive_override_options=no_header_body_checks
postfix 3527 0.0 0.1 27228 1552 ? S 20:19 0:00 qmgr -l -t fifo -u
postfix 3528 0.0 0.4 46948 4144 ? S 20:19 0:00 smtpd -n smtp -t inet -u -c -o stress= -s 2
postfix 3529 0.0 0.1 27176 1628 ? S 20:19 0:00 proxymap -t unix -u
postfix 3530 0.0 0.3 38212 3176 ? S 20:19 0:00 tlsmgr -l -t unix -u -c
postfix 3531 0.0 0.1 27176 1516 ? S 20:19 0:00 anvil -l -t unix -u -c
postfix 3535 0.0 0.1 27188 1544 ? S 20:20 0:00 trivial-rewrite -n rewrite -t unix -u -c
In den Protokolldateien steht absolut nichts über TLS, außer Folgendes:
Nov 6 02:19:45 apps postfix/master[3525]: daemon started -- version 2.9.6, configuration /etc/postfix
Nov 6 02:19:49 apps postfix/smtpd[3528]: initializing the server-side TLS engine
Nov 6 02:19:49 apps postfix/tlsmgr[3530]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Nov 6 02:19:49 apps postfix/tlsmgr[3530]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Nov 6 02:19:49 apps postfix/smtpd[3528]: connect from unknown[204.16.68.108]
Weder Syslog noch Mail.err zeigen Hinweise auf ein Problem. Was das gesamte System betrifft, ist alles in Ordnung. Aber es gibt kein STARTTLS und so kann ich plötzlich keinebeliebigüberhaupt eine E-Mail.
Helfen???
Antwort1
von main.cf
Weitere Informationen zum TLS-Protokollieren:
smtp_tls_note_starttls_offer = yes
auskommentieren oder entfernen:
smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
„Konfigurieren Sie keine Client-Zertifikate, es sei denn, Sie müssen Client-TLS-Zertifikate einem oder mehreren Servern vorlegen. Client-Zertifikate werden normalerweise nicht benötigt und können in Konfigurationen, die ohne sie gut funktionieren, Probleme verursachen. Die empfohlene Einstellung besteht darin, die Standardeinstellungen beizubehalten.“
Laden Sie die Konfiguration neu oder starten Sie Postfix neu.
Ich habe Ihren Server getestet:
EHLO apps.savannidgerinel.com
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY 250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Es bietet 250-STARTTLS. Also fängt etwas Ihren Datenverkehr auf Port 25 ab, wie ein Proxy. Es kann sich um eine Firewall oder einen erweiterten Router mit derart erweiterter Funktionalität handeln, dass Ihr lokaler Computer eine Verbindung über diese herstellt. Wenn Sie keine Firewall oder keinen erweiterten Router haben, handelt es sich höchstwahrscheinlich um eine Antispam-Richtlinie Ihres ISPs, um zu verhindern, dass Spam aus seinen IP-Bereichen stammt. Im schlimmsten Fall führt jemand eineMan-In-The-Middle-Angriff.