letsencrypt postfix

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

letsencrypt postfix

Günther J. Niederwimmer
Hallo Liste,
Ich habe ein Problem mit meinen Postfixen ;-)

Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe nun
anscheinend im Wald.... ;-)

Bevor ich umgestellt hatte, hat alles funktioniert ?
welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
fullchain.pem"

Aber eigentlich habe ich alle durchprobiert

Es scheint irgend etwas mit den Zertifikaten zu sein ?
1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde
wieder mal nichts darüber im Inet.

2: Jetzt nach der Umstellung bekomme ich solche Mails.

Transcript of session follows.

 Out: 220 mx01.4gjn.com ESMTP Postfix
 In:  EHLO www.example.com
 Out: 250-mx01.example.com
 Out: 250-PIPELINING
 Out: 250-SIZE 20480000
 Out: 250-VRFY
 Out: 250-ETRN
 Out: 250-STARTTLS
 Out: 250-ENHANCEDSTATUSCODES
 Out: 250-8BITMIME
 Out: 250 DSN
 In:  STARTTLS
 Out: 454 4.7.0 TLS not available due to local problem
 In:  MAIL FROM:<[hidden email]> SIZE=419
 Out: 250 2.1.0 Ok
 In:  RCPT TO:<[hidden email]> ORCPT=rfc822;[hidden email]
 Out: 450 4.7.1 Session encryption is required
 In:  DATA
 Out: 554 5.5.1 Error: no valid recipients
 In:  RSET
 Out: 250 2.0.0 Ok
 In:  QUIT
 Out: 221 2.0.0 Bye

der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!!

Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system
lib:ssl_rsa.c:722:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate from
file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:02001002:system library:fopen:No such file or directory:bss_file.c:
398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:140DC002:SSL routines:SSL_CTX_use

Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host
mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is
required (in reply to RCPT TO command)

Wo ist da der Wurm auf einmal drin ?

### TLS ######
#
##
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
#smtpd_tls_CApath = /etc/pki/certs
#smtpd_tls_CAfile = /etc/pki/tls/certs.pem

#smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem

#smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
smtpd_tls_key_file = /etc/pki/tls/private/example.com.key

smtpd_tls_security_level = may
#smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
#smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
#smtpd_tls_eecdh_grade = ultra

# TLS outgoing
smtp_tls_security_level = may
smtp_tls_loglevel = 1
#smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
#smtp_tls_key_file = /etc/pki/tls/private/example.com.key

Übrigens der normale Mail Empfang funktioniert ??

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt postfix

Martin Steigerwald
Hallo Günther.

Günther J. Niederwimmer - 14.08.17, 16:46:
> Ich habe ein Problem mit meinen Postfixen ;-)
>
> Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe
> nun  anscheinend im Wald.... ;-)
>
> Bevor ich umgestellt hatte, hat alles funktioniert ?
> welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
> fullchain.pem"

Bei mir funktioniert:

# TLS
smtpd_tls_cert_file = /var/lib/dehydrated/certs/lichtvoll.de/fullchain.pem
smtpd_tls_key_file = /var/lib/dehydrated/certs/lichtvoll.de/privkey.pem
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong

tls_preempt_cipherlist = yes

smtpd_tls_exclude_ciphers = RC4, aNULL

smtp_tls_exclude_ciphers = RC4, aNULL


Hab jetzt nach der Arbeit keinen Nerv Deine Konfig und Logs detaillierter
durchzuschauen. Vielleicht findest Du ja einen Hinweis.

Das dh2048.pem musst natürlich erstellen. Wie hab ich auch gerade nicht mehr
im Kopf, gibt aber glaub einen Blog-Artikel bei Heinlein dazu. Kannst
natürlich erstmal die Standard-Datei da verwenden.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt postfix

Stefan Schwarz
In reply to this post by Günther J. Niederwimmer
"smtpd_tls_cert_file" ist falsch, die fullchain enthält nicht den pubkey
sondern die intermediates.

smtpd_tls_cert_file= /etc/postfix/ZERT.crt
smtpd_tls_key_file= /etc/postfix/KEY.key
smtpd_tls_CAfile= /etc/postfix/INTERMEDIATES.fullchain


Am 14.08.2017 um 16:46 schrieb Günther J. Niederwimmer:

> Hallo Liste,
> Ich habe ein Problem mit meinen Postfixen ;-)
>
> Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe nun
> anscheinend im Wald.... ;-)
>
> Bevor ich umgestellt hatte, hat alles funktioniert ?
> welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
> fullchain.pem"
>
> Aber eigentlich habe ich alle durchprobiert
>
> Es scheint irgend etwas mit den Zertifikaten zu sein ?
> 1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde
> wieder mal nichts darüber im Inet.
>
> 2: Jetzt nach der Umstellung bekomme ich solche Mails.
>
> Transcript of session follows.
>
>   Out: 220 mx01.4gjn.com ESMTP Postfix
>   In:  EHLO www.example.com
>   Out: 250-mx01.example.com
>   Out: 250-PIPELINING
>   Out: 250-SIZE 20480000
>   Out: 250-VRFY
>   Out: 250-ETRN
>   Out: 250-STARTTLS
>   Out: 250-ENHANCEDSTATUSCODES
>   Out: 250-8BITMIME
>   Out: 250 DSN
>   In:  STARTTLS
>   Out: 454 4.7.0 TLS not available due to local problem
>   In:  MAIL FROM:<[hidden email]> SIZE=419
>   Out: 250 2.1.0 Ok
>   In:  RCPT TO:<[hidden email]> ORCPT=rfc822;[hidden email]
>   Out: 450 4.7.1 Session encryption is required
>   In:  DATA
>   Out: 554 5.5.1 Error: no valid recipients
>   In:  RSET
>   Out: 250 2.0.0 Ok
>   In:  QUIT
>   Out: 221 2.0.0 Bye
>
> der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!!
>
> Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
> 4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
> Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
> 4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system
> lib:ssl_rsa.c:722:
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate from
> file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c:
> 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:140DC002:SSL routines:SSL_CTX_use
>
> Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host
> mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is
> required (in reply to RCPT TO command)
>
> Wo ist da der Wurm auf einmal drin ?
>
> ### TLS ######
> #
> ##
> smtpd_tls_auth_only = yes
> smtpd_use_tls = yes
> smtpd_tls_loglevel = 1
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2,!SSLv3
> smtpd_tls_received_header = yes
> #smtpd_tls_CApath = /etc/pki/certs
> #smtpd_tls_CAfile = /etc/pki/tls/certs.pem
>
> #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
>
> #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> smtpd_tls_key_file = /etc/pki/tls/private/example.com.key
>
> smtpd_tls_security_level = may
> #smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
> #smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
> #smtpd_tls_eecdh_grade = ultra
>
> # TLS outgoing
> smtp_tls_security_level = may
> smtp_tls_loglevel = 1
> #smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
> #smtp_tls_key_file = /etc/pki/tls/private/example.com.key
>
> Übrigens der normale Mail Empfang funktioniert ??
>

Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt postfix

Christian Kohlstedde
In reply to this post by Günther J. Niederwimmer
Hallo Günther,

er kann aus Gründen das Zertifikat erst gar nicht lesen.
Ich würde da dann blind entweder auf unzureichende Rechte oder einen
Tippfehler im Pfad tippen.

Viele Grüße

Christian

Am 14.08.17 um 16:46 schrieb Günther J. Niederwimmer:
> Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
> 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c:


signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: letsencrypt postfix

Harald Witt
In reply to this post by Günther J. Niederwimmer
Hallo Günther,

vielleicht liegt es ja nur am Neustart des Service (siehe --post-hook
unten)?
Oder dein Postfix braucht noch eine Datei?

Ich hatte da mal ein Problem dem guten alten Courier. Der POP3-Server wollte
unbedingt den privaten Schlüssel und die Fullchain in einer Datei haben,
wass natürlich ein Risiko ist ;-)

Habe dann in der /etc/cron.d/certbot nach "-q renew" die Zeile erweitert:
--post-hook /var/xyz/restart_mailservices.sh

Und da steht drin:
#!/bin/sh
cd /etc/letsencrypt/live/my.domain.de/
cat privkey.pem fullchain.pem >/etc/courier/certbot-courier.pem
systemctl restart courier-pop-ssl.service
systemctl restart postfix.service

Und schon funktionierte das hervorragend :-)
Muss noch dazu schreiben, dass ich Debian 8.9 habe und nicht das
Postfix-Plugin vom certbot benutze. Die Aktualisierung läuft bei mir über
eine SSL-Seite des Apache: pop.my.domain.de-le-ssl.conf bzw.
mail.my.domain.de-le-ssl.conf

HTH
Harald


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]]
Im Auftrag von Günther J. Niederwimmer
Gesendet: Montag, 14. August 2017 16:46
An: [hidden email]
Betreff: letsencrypt postfix

Hallo Liste,
Ich habe ein Problem mit meinen Postfixen ;-)

Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe
nun anscheinend im Wald.... ;-)

Bevor ich umgestellt hatte, hat alles funktioniert ?
welches File braucht postfix von letsencrypt "cert.pem, chain.pem,
fullchain.pem"

Aber eigentlich habe ich alle durchprobiert

Es scheint irgend etwas mit den Zertifikaten zu sein ?
1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde
wieder mal nichts darüber im Inet.

2: Jetzt nach der Umstellung bekomme ich solche Mails.

Transcript of session follows.

 Out: 220 mx01.4gjn.com ESMTP Postfix
 In:  EHLO www.example.com
 Out: 250-mx01.example.com
 Out: 250-PIPELINING
 Out: 250-SIZE 20480000
 Out: 250-VRFY
 Out: 250-ETRN
 Out: 250-STARTTLS
 Out: 250-ENHANCEDSTATUSCODES
 Out: 250-8BITMIME
 Out: 250 DSN
 In:  STARTTLS
 Out: 454 4.7.0 TLS not available due to local problem
 In:  MAIL FROM:<[hidden email]> SIZE=419
 Out: 250 2.1.0 Ok
 In:  RCPT TO:<[hidden email]> ORCPT=rfc822;[hidden email]
 Out: 450 4.7.1 Session encryption is required
 In:  DATA
 Out: 554 5.5.1 Error: no valid recipients
 In:  RSET
 Out: 250 2.0.0 Ok
 In:  QUIT
 Out: 221 2.0.0 Bye

der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!!

Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem:
4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system
lib:ssl_rsa.c:722:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate
from file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:02001002:system library:fopen:No such file or
directory:bss_file.c:
398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem:
4003:error:140DC002:SSL routines:SSL_CTX_use

Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host
mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is
required (in reply to RCPT TO command)

Wo ist da der Wurm auf einmal drin ?

### TLS ######
#
##
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols =
!SSLv2,!SSLv3 smtpd_tls_received_header = yes #smtpd_tls_CApath =
/etc/pki/certs #smtpd_tls_CAfile = /etc/pki/tls/certs.pem

#smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem

#smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
smtpd_tls_key_file = /etc/pki/tls/private/example.com.key

smtpd_tls_security_level = may
#smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
#smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem
#smtpd_tls_eecdh_grade = ultra

# TLS outgoing
smtp_tls_security_level = may
smtp_tls_loglevel = 1
#smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
#smtp_tls_key_file = /etc/pki/tls/private/example.com.key

Übrigens der normale Mail Empfang funktioniert ??

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer

Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt postfix

Christian Kohlstedde
In reply to this post by Günther J. Niederwimmer
Nachtrag: Ich würde auf Grund deines Konfigurationsauszugs darauf
tippen, dass du zwar das Cert File angepasst hast, aber jedoch nicht das
Key File.

Am 14.08.17 um 16:46 schrieb Günther J. Niederwimmer:
> #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
>
> #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> smtpd_tls_key_file = /etc/pki/tls/private/example.com.key


signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt postfix

Markus Schönhaber
In reply to this post by Günther J. Niederwimmer
14.08.2017, 16:46 CEST, Günther J. Niederwimmer:

> 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c:
> 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'):

aber angeblich

> smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem

Deswegen will man lieber die Ausgabe von
postconf -n
haben als irgendwelche Konfigurationsschnipsel. Denn dann kann man
einigermaßen sicher sein, dass man die tatsächlich verwendete Konfig zu
sehen bekommt.

--
Gruß
  mks
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt postfix

Günther J. Niederwimmer
In reply to this post by Christian Kohlstedde
Hallo Liste,

Am Montag, 14. August 2017, 17:48:41 CEST schrieb Christian Kohlstedde:

> Nachtrag: Ich würde auf Grund deines Konfigurationsauszugs darauf
> tippen, dass du zwar das Cert File angepasst hast, aber jedoch nicht das
> Key File.
>
> Am 14.08.17 um 16:46 schrieb Günther J. Niederwimmer:
> > #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> > smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem
> >
> > #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> > smtpd_tls_key_file = /etc/pki/tls/private/example.com.key

Danke für Eure Hilfe !

War wieder mal ein copy and paste Fehler :-((.

Ich habe es jetzt Tagelang einfach überlesen ..........

Sch............. wenn man sich die Fehler selbst einbaut.

Und Du hattest Recht war im Key Pfad, da war etwas mehr als hingehörte. :-((

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer