Postfix TLS

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Postfix TLS

Markus Heinze
Moin moin,

ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich für
meine private Domain einen vServer aufgesetzt mit letsencrypt
Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
mögen das Zertifikat nicht.
Das Zertifikat enthält alternative Einträge, sprich es ist für
<domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
folgende Meldungen im Log

-->

May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no auth
attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS: SSL_read()
failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>

May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library problem:
error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
certificate:s3_pkt.c:1493:SSL alert number 42:
May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
STARTTLS from unknown[1.2.3.4]

<--

Starte ich lokal auf dem Server den openssl s_client ist alles gut

-->

subject=/CN=<domainname>.tld
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms:
RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms:
RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4009 bytes and written 466 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
     Protocol  : TLSv1.2
     Cipher    : ECDHE-RSA-AES256-GCM-SHA384
     Session-ID:
ED5C6CC0A53315F7224724418016A29FE73F378E327D78DFB53E99808ED334CF
     Session-ID-ctx:
     Master-Key:
6B4256DACDAE64EE60C3FE95024DE181734EB32F2C7C0EC009A1B82998082446FE7CF65D91FCE62BD19AEE596C097FE6
     Key-Arg   : None
     PSK identity: None
     PSK identity hint: None
     SRP username: None
     TLS session ticket lifetime hint: 7200 (seconds)
     TLS session ticket:
     0000 - 94 8c 41 d4 ca 0a c7 5f-79 89 87 8b 25 4a 46 71  
..A...._y...%JFq
     0010 - 75 c2 98 86 5b 63 a0 4a-08 c2 e7 72 4d ad c4 31  
u...[c.J...rM..1
     0020 - e6 f6 fd 31 42 01 96 12-4a 92 f8 d5 63 73 38 c5  
...1B...J...cs8.
     0030 - d3 23 d6 1e 62 e1 eb 8c-53 6c ad 3c 04 b4 16 c1  
.#..b...Sl.<....
     0040 - c5 f5 1d 00 ed e0 81 1f-ee 5b c4 a7 89 28 61 60  
.........[...(a`
     0050 - 9c ab 8a cd 3e 92 86 d5-3e ae 9f 9c ae 76 13 31  
....>...>....v.1
     0060 - fb ff ca 8f 97 fb 33 9b-5c 31 0f e8 82 83 f5 1e  
......3.\1......
     0070 - b8 d9 7e 9c 36 79 fc 65-ae 62 5a d6 14 ed 60 52  
..~.6y.e.bZ...`R
     0080 - a0 8d 91 54 2d 9f 61 c4-90 41 15 fd 11 57 2e b5  
...T-.a..A...W..
     0090 - 6a e8 0e 2e 22 71 1f bc-86 ff 58 3e b8 cc 1d ee  
j..."q....X>....

     Start Time: 1494832678
     Timeout   : 300 (sec)
     Verify return code: 0 (ok)
---
250 SMTPUTF8

<--

Liegt es daran das mail.<domainname>.tld als alternative Name im Cert
ist und nicht als CN?

Vllt. ist schon mal jemand darüber gestolpert, wäre für jedwede Hinweise
dankbar.

mfg
M.Heinze
Reply | Threaded
Open this post in threaded view
|

AW: Postfix TLS

Daniel-4
Nutzt dovecot denn auch dieses Cert und nicht nen anderes?

Verwende sonst gern https://de.ssl-tools.net/mailservers und https://www.liveconfig.com/de/sslcheck zum Testen von Cert, DANE und ggf. Erreichbarkeit im Einzelfall.

Gruß Daniel


smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: AW: Postfix TLS

Markus Heinze
Moin moin,

Ja für www,smtp,imap,pop gilt dies Zertifikat und laut liveconfig ist
auch alles gut

-->

<<< 220 mail.<domainname>.tld ESMTP
>>> EHLO sslcheck.liveconfig.com
<<< 250-mail.<domainname>.tld
<<< 250-PIPELINING
<<< 250-SIZE 52428800
<<< 250-ETRN
<<< 250-STARTTLS
<<< 250-AUTH PLAIN
<<< 250-AUTH=PLAIN
<<< 250-ENHANCEDSTATUSCODES
<<< 250-8BITMIME
<<< 250-DSN
<<< 250 SMTPUTF8
>>> STARTTLS
<<< 220 2.0.0 Ready to start TLS
<<< 220 mail.<domainname>.tld ESMTP
>>> EHLO sslcheck.liveconfig.com
<<< 250-mail.<domainname>.tld
<<< 250-PIPELINING
<<< 250-SIZE 52428800
<<< 250-ETRN
<<< 250-STARTTLS
<<< 250-AUTH PLAIN
<<< 250-AUTH=PLAIN
<<< 250-ENHANCEDSTATUSCODES
<<< 250-8BITMIME
<<< 250-DSN
<<< 250 SMTPUTF8
>>> STARTTLS
<<< 220 2.0.0 Ready to start TLS


<<< +OK Welcome to ....!
>>> CAPA
<<< +OK
<<< CAPA
<<< TOP
<<< UIDL
<<< RESP-CODES
<<< PIPELINING
<<< AUTH-RESP-CODE
<<< STLS
<<< USER
<<< SASL PLAIN
<<< .
>>> STLS
<<< +OK Begin TLS negotiation now.
<<< +OK Welcome to ....!
>>> CAPA
<<< +OK
<<< CAPA
<<< TOP
<<< UIDL
<<< RESP-CODES
<<< PIPELINING
<<< AUTH-RESP-CODE
<<< STLS
<<< USER
<<< SASL PLAIN
<<< .
>>> STLS
<<< +OK Begin TLS negotiation now.

<<< * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID
ENABLE IDLE STARTTLS AUTH=PLAIN] Welcome ....!
>>> a001 CAPABILITY
<<< * CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
IDLE STARTTLS AUTH=PLAIN
<<< a001 OK Pre-login capabilities listed, post-login capabilities have
more.
>>> a002 STARTTLS
<<< a002 OK Begin TLS negotiation now.
<<< * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID
ENABLE IDLE STARTTLS AUTH=PLAIN] Welcome to ....!
>>> a001 CAPABILITY
<<< * CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
IDLE STARTTLS AUTH=PLAIN
<<< a001 OK Pre-login capabilities listed, post-login capabilities have
more.
>>> a002 STARTTLS
<<< a002 OK Begin TLS negotiation now.

Protocol: TLSv1.2
OCSP Stapling: YES

OCSP Response Data:
     OCSP Response Status: successful (0x0)
     Response Type: Basic OCSP Response
     Version: 1 (0x0)
     Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt
Authority X3
     Produced At: May 12 13:05:00 2017 GMT
     Responses:
     Certificate ID:
       Hash Algorithm: sha1
       Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
       Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
       Serial Number: 03AD311E209CBA2942BFD0A549D867C26C20
     Cert Status: good
     This Update: May 12 13:00:00 2017 GMT
     Next Update: May 19 13:00:00 2017 GMT

     Signature Algorithm: sha256WithRSAEncryption
          51:78:2a:1f:64:38:8f:51:39:2e:d4:86:96:76:b6:08:62:ea:
          9f:df:7e:08:94:a2:34:9b:66:02:b8:4a:aa:de:1e:3b:43:78:
          b3:09:d0:2f:b6:37:39:1e:a4:22:05:ee:68:8d:37:47:ad:03:
          c9:40:ab:26:24:8d:63:59:b1:15:e9:76:31:23:c7:b0:82:28:
          6a:95:eb:e3:81:4b:39:db:f8:8c:14:4a:cb:58:0a:68:d1:e3:
          f1:8e:cd:d9:c4:6d:13:fa:2b:dd:c2:1f:0c:a5:08:e7:8f:14:
          68:c0:a7:d0:d8:ec:65:d4:fd:6d:bb:72:e0:7a:51:78:da:3d:
          e0:28:a5:84:62:c4:c2:84:e4:11:1d:df:98:c0:22:02:ff:8b:
          55:c9:0c:77:7c:c7:1c:e2:a8:84:94:a1:07:1b:6e:9f:58:70:
          bd:87:45:2a:06:7c:40:2d:db:53:2b:bd:59:f9:4e:00:31:a1:
          68:7c:5f:11:1b:74:35:f0:51:64:a0:eb:59:7d:f2:c6:ab:d7:
          c1:72:84:f3:fe:57:fb:a3:78:1f:85:bd:5a:28:c6:3d:87:ef:
          61:0b:fe:c8:47:4e:cb:bc:3b:31:47:43:13:de:0d:ef:43:4b:
          fe:27:81:0e:7f:9b:2c:19:ec:89:ce:77:2b:bf:5e:f3:ed:69:
          b3:42:87:cb

DHE temporary key type: DH (4096 bits)
DH parameters: 4096 bits
DH parameters (MD5): dafe80bed54a130961a7dccd3fdb309a

<--

Mit folgenden Einstellungen im Thunderbird funktioniert es

security.OCSP.GET.enabled: true
security.OCSP.enabled: 1
security.OCSP.require: true
security.ssl.enable_ocsp_must_staple: false
security.ssl.enable_ocsp_stapling: true

aber so kompliziert kann es doch nicht sein oder? das muss doch auch out
of the box gehen

lg
M.Heinze

Am 2017-05-15 9:35, schrieb Daniel:
> Nutzt dovecot denn auch dieses Cert und nicht nen anderes?
>
> Verwende sonst gern https://de.ssl-tools.net/mailservers und
> https://www.liveconfig.com/de/sslcheck zum Testen von Cert, DANE und
> ggf. Erreichbarkeit im Einzelfall.
>
> Gruß Daniel
Reply | Threaded
Open this post in threaded view
|

Re: Postfix TLS

Juri Haberland
In reply to this post by Markus Heinze
On 2017-05-15 09:21, Markus Heinze wrote:

> Moin moin,
>
> ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich
> für meine private Domain einen vServer aufgesetzt mit letsencrypt
> Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
> mögen das Zertifikat nicht.
> Das Zertifikat enthält alternative Einträge, sprich es ist für
> <domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
> ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
> folgende Meldungen im Log
>
> -->
>
> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no
> auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS:
> SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3
> alert bad certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>
>
> May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library
> problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
> certificate:s3_pkt.c:1493:SSL alert number 42:
> May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
> STARTTLS from unknown[1.2.3.4]

Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine
Rückmeldung des Clients (also Thunderbird) ist, der aus welchen Gründen
auch immmer, nicht glücklich mit dem Zertifikat ist.

Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die
benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem
Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen!

Grüße,
   Juri
Reply | Threaded
Open this post in threaded view
|

Re: Postfix TLS

Markus Heinze


Am 2017-05-15 10:34, schrieb Juri Haberland:

> On 2017-05-15 09:21, Markus Heinze wrote:
>> Moin moin,
>>
>> ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich
>> für meine private Domain einen vServer aufgesetzt mit letsencrypt
>> Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
>> mögen das Zertifikat nicht.
>> Das Zertifikat enthält alternative Einträge, sprich es ist für
>> <domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
>> ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
>> folgende Meldungen im Log
>>
>> -->
>>
>> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no
>> auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS:
>> SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3
>> alert bad certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>
>>
>> May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library
>> problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
>> certificate:s3_pkt.c:1493:SSL alert number 42:
>> May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
>> STARTTLS from unknown[1.2.3.4]
>
> Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine

Ich habe mehr als kurz gegoogelt.

> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen

Ja aber warum mag er das nicht, möglicherweise ist der Server nicht
korrekt konfiguriert.

> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist.
>
> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die
> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem
> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen!

Ja das ist klar, ist auch so eingestellt.

>
> Grüße,
>   Juri

lg M.Heinze
Reply | Threaded
Open this post in threaded view
|

Re: Postfix TLS

Juri Haberland
On 2017-05-15 10:48, Markus Heinze wrote:
> Am 2017-05-15 10:34, schrieb Juri Haberland:
>> On 2017-05-15 09:21, Markus Heinze wrote:

>> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen
>
> Ja aber warum mag er das nicht, möglicherweise ist der Server nicht
> korrekt konfiguriert.

Dann schick doch mal dein postconf -n und dovconf -n...

>> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist.
>>
>> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die
>> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem
>> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen!
>
> Ja das ist klar, ist auch so eingestellt.

Vielleicht forderst du client-seitige Zertifikate?
Postfix-Parameter smtpd_tls_ask_ccert (sollte auf off sein/ nicht in
deiner main.cf stehen).

Gruß,
   Juri
Reply | Threaded
Open this post in threaded view
|

Re: Postfix TLS

Markus Heinze


Am 2017-05-15 11:19, schrieb Juri Haberland:
> On 2017-05-15 10:48, Markus Heinze wrote:
>> Am 2017-05-15 10:34, schrieb Juri Haberland:
>>> On 2017-05-15 09:21, Markus Heinze wrote:
>
>>> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen
>>
>> Ja aber warum mag er das nicht, möglicherweise ist der Server nicht
>> korrekt konfiguriert.

    ^^^^

>
> Dann schick doch mal dein postconf -n und dovconf -n...
>
>>> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist.
>>>
>>> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus,
>>> die
>>> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem
>>> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem
>>> benutzen!
>>
>> Ja das ist klar, ist auch so eingestellt.
>
> Vielleicht forderst du client-seitige Zertifikate?
> Postfix-Parameter smtpd_tls_ask_ccert (sollte auf off sein/ nicht in
> deiner main.cf stehen).

!!! Genau das war es *grml* das hat man nun wenn man Konfigs recycled
und pasted, hätte man sich die Mühe gemacht und von Hand konfiguriert
dann hätte man was vom Sonntag gehabt

>
> Gruß,
>   Juri

Vielen Dank für diesen Tipp

Reply | Threaded
Open this post in threaded view
|

AW: Postfix TLS

Daniel-4
In reply to this post by Juri Haberland
Ich habe mit smtpd_tls_ask_ccert = yes keine Probleme. Evt. ist kein smtpd_tls_CApath = /etc/ssl/certs/ oder so gesetzt.

Problem ist wohl eher dovecot nicht postfix, da ja pop3 genannt wurde in ersten Mail.

Evt. hilft ja auch https://forum.ubuntuusers.de/topic/dovecot-thunderbird-und-ssl-unknown-ca-fehler/ weiter.

Gruß Daniel

-----Ursprüngliche Nachricht-----


Vielleicht forderst du client-seitige Zertifikate?
Postfix-Parameter smtpd_tls_ask_ccert (sollte auf off sein/ nicht in
deiner main.cf stehen).

Gruß,
   Juri

smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix TLS

Winfried Neessen
Am 15.05.2017 um 11:33 schrieb Daniel <[hidden email]>:

Ich habe mit smtpd_tls_ask_ccert = yes keine Probleme. Evt. ist kein smtpd_tls_CApath = /etc/ssl/certs/ oder so gesetzt.


Und warum aktivierst Du es? Nutzt Du Client-Zertifikate zur Authentifizerung z. B. fuer Mailrelaying? Wenn nicht, macht es
keinen Sinn so ein Feature zu aktivieren.


"Some clients such as Netscape will either complain if no certificate is available (for the list of CAs in $smtpd_tls_CAfile) or will offer multiple client certificates to choose from. This may be annoying, so this option is "off" by default."


signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Postfix TLS

Daniel-4
Ne nutze ich nicht, so habe ich Teils wenn manche Server eins senden es auch im Log stehen und als verifiziert stehe z.B. von
/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2

Hatte bisher weder mit Thunderbird, iOS Mail, Google Mail oder Outlook Probleme geschweige Fehlermeldungen, Warnungen ect.

Gruß Daniel

Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Winfried Neessen
Gesendet: Montag, 15. Mai 2017 11:38
An: Diskussionen und Support rund um Postfix
Betreff: Re: Postfix TLS

Am 15.05.2017 um 11:33 schrieb Daniel <[hidden email]>:


Ich habe mit smtpd_tls_ask_ccert = yes keine Probleme. Evt. ist kein smtpd_tls_CApath = /etc/ssl/certs/ oder so gesetzt.

Und warum aktivierst Du es? Nutzt Du Client-Zertifikate zur Authentifizerung z. B. fuer Mailrelaying? Wenn nicht, macht es
keinen Sinn so ein Feature zu aktivieren.

http://www.postfix.org/postconf.5.html#smtpd_tls_ask_ccert

"Some clients such as Netscape will either complain if no certificate is available (for the list of CAs in $smtpd_tls_CAfile) or
will offer multiple client certificates to choose from. This may be annoying, so this option is "off" by default."


smime.p7s (6K) Download Attachment