Postfix Untrusted TLS connection

Web, mail, IRC, IM, hálózatok

Egy postfixet szeretnék biztonságos küldésre bírni, de sehogyan sem sikerül. A naplóban a

Untrusted TLS connection established to gmail-smtp-in.l.google.com[64.233.167.26]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)

típusú hibaüzenetek jelennek meg.

A main.cf fájlban beállított értékeim

smtp_use_tls=yes
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_CApath = /etc/ssl/certs

Próbáltam rákeresni, a probléma sokaknál előfordul, de vagy az smtp_tls_CAfile vagy az smtp_tls_CApath állításával sikerült megoldaniuk. Én többfélével is próbálkoztam, és nem jelenik meg a logban a

Trusted TLS connection established to gmail-smtp-in.l.google ...

típusú üzenet, csak az Untrusted kedzetű. Több gépen is próbáltam, mindegyiknél így jártam. :(

Van tippetek, hogyan találhatom meg az okát, vagy hogyan javíthatom ki?

( mauzi v | 2021. 01. 20., sze – 14:26 )

Szerkesztve: 2021. 01. 20., sze – 14:28

Nem tudom, hogy milyen oprendszert/disztribúciót használsz, a postfix/smtp szeret alapból chroot-ban lenni, ezért a tanúsítványokat a fenti smtp_tls_CApath beállítás mellett a /var/spool/postfix/etc/ssl/certs-ben keresi.

( NevemTeve | 2021. 01. 20., sze – 14:56 )

Szerkesztve: 2021. 02. 14., v – 13:24

Megpróbáltam egy openssl s_client -showcerts -connect smtp.gmail.com:465-ot, azt mondta, hogy a RootCA-cert (akiben bízni kellene) ez: http://globalsign.tbs-certificats.com/Root-R2.crt

Ilyesmi az eleje:

s: OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
i: OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
nb: Dec 15 08:00:00 2006 GMT
na: Dec 15 08:00:00 2021 GMT
fp: 75:E0:AB:B6:13:85:12:27:1C:04:F8:5F:DD:DE:38:E4:B7:24:2E:FE

( uid_395 v | 2021. 01. 20., sze – 15:53 )

Hm, most hogy mondod. Két szerveren is "fixeltem" ezt ahol valahogy lemaradt.

smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs

ez a kettő ment bele main.cf -be, valamint egy 

update-ca-certificates

parancs. És tádám. Amúgy igen a /var/spool/postfix/etc/ssl/certs -ben nézz szét. Bár nálam az egyik friss ubuntun nem kellett semmi extrát csinálnom.
A régebbi ubuntu-n még maga a postfix akarta volna "másolgatni" chrootba az aktuális certs cuccokat. 

Ez fail-ra futott, de itt csak annyit kellett tennem, hogy valamiért volt a certs-be egy rakás broken symlink, azokat eltakarítottam és utána már postfix restart berakta chrootba a megfelelően update-elt certeket.

Azóta gmail fele is Trusted ként épül fel a kapcsolat.

( plt | 2021. 01. 21., cs – 16:01 )

Egyelőre ott tartok, hogy egyes szerverek felé már kiépül a Trusted kacsolat, más szerverek felé nem. Jelenleg mind a CApath, mind a CAfile meg van adva.

Gmail, freemail, Yahoo és még sokan már Trusted, de citromail, indamail, t-online, és még pár nem.

Egyelőre nem tudok továbblépni, hogy ezek is Trusted-ek legyenek.