ubuntuusers.de

Moin Leute, ich habe einen recht alten Root-Server auf dem meine Webseite läuft. Dort ist auch ein SSL Zertifikat installiert, dass ich über Hosteur*pe bezogen habe. Das sieht im Browser für meine Webseiten auf dem Server auch alles gut aus. Außerdem läuft dort postfix, spamasassin, usw. Nun müssen wir für die Buchhaltung DATEV benutzen, dessen Mailserver allerdings nur Emails akzeptiert, die verschlüsselt sind. Offensichtlich ist das nicht korrekt eingerichtet, denn per Telnet auf die 25 wird zwar STARTTLS mit angezeigt, die Mails offensichtlich aber doch unverschlüsselt versendet (jedenfalls kommt es von Datev immer zurück). Die Hotline dort sagte mir, es müsse verschlüsselt werden und solle nicht zu alt sein (Version 1.2?). Ich muss zugeben: ich verstehe Bahnhof, habe nur absolut rudimentäre Unix-Kenntnisse (Verzeichnis wechseln, History angucken, Dateirechte setzen), und nach folgender Anleitung versucht, das Problem zu beheben: https://www.bekawe-media.de/howto-postfix-mit-tls-ssl-einrichten/ Geht natürlich nicht (im mail.err steht "TLS server engine: No CA file specified. Client side certs may not work"), aufgefallen ist mir dann, dass nirgends mein bezahltes Zertifikat verlangt wird ... ihr seht: ich stehe komplett auf dem Schlauch. Kann mir jemand helfen? Ich habe vom ausgestellten Zertifikat ein CSR, CRT und ein CA. Wie bekomme ich das nun ins Postfix, damit das Ding meine Mails verschlüsselt? Bin für jeden Tipp dankbar!

Hallo,

ich kenne deine Postfix Konfiguration natürlich nicht aber bei uns funktioniert das ganze mit Datev. Hier ist unser SSL teil in der main.conf

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

smtpd_tls_cert_file = /etc/letsencrypt/live/DOMAIN/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/DOMAIN/privkey.pem
smtpd_tls_security_level=may
smtp_tls_cert_file = /etc/letsencrypt/live/DOMAIN/fullchain.pem
smtp_tls_key_file = /etc/letsencrypt/live/DOMAIN/privkey.pem
smtp_tls_security_level=may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtpd_tls_mandatory_protocols = !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_eecdh_grade = strong

In unserem Fall Lets Encrypt kannst du dann auf dein Zertifikat anpassen. In der master.cf sollte bei submission inet folgendes stehen

1
2
3
4

submission inet n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_tls_security_level=encrypt
  -o tls_preempt_cipherlist=yes

Achso zum Thema Zertifikat: Die fullchain.pem sollte dein Zertifikat + alle Zwischenzertifikate enthalten. z.B.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

-----BEGIN CERTIFICATE-----
.
.
.
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.
.
.
-----END CERTIFICATE-----

Das private Key file enthältt nur einen (deinen) Schlüssel.

Hoffe das Hilft eine Rückmeldung obs geklapt hat wäre super ☺

Gruß Epytir

Danke für die Rückmeldung ... habe alles so eingestellt, natürlich mit Verweis auf mein Zertifikat. Leider keine Besserung ... Postfix startet ohne Kommentar neu ... mache ich ein Telnet auf Port 25 wird zwar auch STARTTLS angezeigt, allerdings kommt dann eine Fehlermeldung:

250-PIPELINING

250-SIZE 10240000

250-VRFY

250-ETRN

250-STARTTLS

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSN

STARTTLS

454 4.7.0 TLS not available due to local problem

Wo könnte ich nachsehen, was ihm nicht gefällt?

Naja, steht im mail.err nach wie vor die gleiche Meldung wie ursprünglich?

Allgemien, was ich so lese, weißt der Fehler einfach auf Fehlerhaftes Zertifikat hin, also falsche Berechtigungen, fehlende Dateien oder so...

Wie Doc_Symbiosis sagte die Fehlermeldung komt normalerweise wenn es Probleme mit dem Zertifikat gibt. Was steht dem im Mail Log bzw. Syslog dazu ?

Hier gibt es Fehler wie

warning: cannot get RSA certificate from file /etc/postfix/postfix_default.pem: disabling TLS support

die darauf hinweisen, was mit dem Zertifikat nicht stimmt.

Könntest du uns gegebenenfalls mal einen Auszug aus dem Log schicken? (du kannst ja private informationen anonymisieren) Schau mal ins

/var/log/syslog
/var/log/mail.log
/var/log/mail.err