Fórumok
Egy postfixet szeretnék biztonságos küldésre bírni, de sehogyan sem sikerül. A naplóban a
Untrusted TLS connection established to gmail-smtp-in.l.google.com[64.233.167.26]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
típusú hibaüzenetek jelennek meg.
A main.cf fájlban beállított értékeim
smtp_use_tls=yes
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_CApath = /etc/ssl/certs
Próbáltam rákeresni, a probléma sokaknál előfordul, de vagy az smtp_tls_CAfile vagy az smtp_tls_CApath állításával sikerült megoldaniuk. Én többfélével is próbálkoztam, és nem jelenik meg a logban a
Trusted TLS connection established to gmail-smtp-in.l.google ...
típusú üzenet, csak az Untrusted kedzetű. Több gépen is próbáltam, mindegyiknél így jártam. :(
Van tippetek, hogyan találhatom meg az okát, vagy hogyan javíthatom ki?
Hozzászólások
Nem tudom, hogy milyen oprendszert/disztribúciót használsz, a postfix/smtp szeret alapból chroot-ban lenni, ezért a tanúsítványokat a fenti smtp_tls_CApath beállítás mellett a /var/spool/postfix/etc/ssl/certs-ben keresi.
Köszi, úgy nézem, nem chroot-ban fut.
Megpróbáltam egy
openssl s_client -showcerts -connect smtp.gmail.com:465
-ot, azt mondta, hogy a RootCA-cert (akiben bízni kellene) ez: http://globalsign.tbs-certificats.com/Root-R2.crtIlyesmi az eleje:
Hm, most hogy mondod. Két szerveren is "fixeltem" ezt ahol valahogy lemaradt.
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs
ez a kettő ment bele main.cf -be, valamint egy
update-ca-certificates
parancs. És tádám. Amúgy igen a /var/spool/postfix/etc/ssl/certs -ben nézz szét. Bár nálam az egyik friss ubuntun nem kellett semmi extrát csinálnom.
A régebbi ubuntu-n még maga a postfix akarta volna "másolgatni" chrootba az aktuális certs cuccokat.
Ez fail-ra futott, de itt csak annyit kellett tennem, hogy valamiért volt a certs-be egy rakás broken symlink, azokat eltakarítottam és utána már postfix restart berakta chrootba a megfelelően update-elt certeket.
Azóta gmail fele is Trusted ként épül fel a kapcsolat.
Köszi, update-ca-certificates nem volt meg. Ezt nem tudtam.
Egyelőre ott tartok, hogy egyes szerverek felé már kiépül a Trusted kacsolat, más szerverek felé nem. Jelenleg mind a CApath, mind a CAfile meg van adva.
Gmail, freemail, Yahoo és még sokan már Trusted, de citromail, indamail, t-online, és még pár nem.
Egyelőre nem tudok továbblépni, hogy ezek is Trusted-ek legyenek.
https://luxsci.com/smtp-tls-checker#results
eszerint tok szar az osszes citromail mx, nem csoda hogy untrusted lesz...
de a t-online.hu elvileg rendben van, jo a CA es a TLS verziok is