Email Verschlüsselung beim Versand (SMTP)

[Thomas]

Hallo,

seit der Version 4.6.3 werden nun auch die ausgehenden Mail verschlüsselt, wie in der Doku zu lesen ist. In unserem Hause sind keine Warnmeldungen in der maillog aufgetreten. Wir verwenden den EMAIL-Domaintyp SMTP direkt.
Ein Kunde allerdings hat den EMAIL-Domaintyp Multidrop und bekommt seit dem Update 4.6.3 folgende Meldungen in der mailllog:

Apr 4 10:05:04 intranator postfix/smtp[17085]: certificate verification failed for auth.smtp.kundenserver.de: num=20:unable to get local issuer certificate

Apr 4 10:05:04 intranator postfix/smtp[17085]: certificate verification failed for auth.smtp.kundenserver.de: num=21:unable to verify the first certificate

Apr 4 10:05:04 intranator postfix/smtp[17085]: certificate verification failed for auth.smtp.kundenserver.de: num=27:certificate not trusted

Apr 4 10:20:19 intranator postfix/smtp[10961]: certificate verification failed for auth.smtp.kundenserver.de: num=20:unable to get local issuer certificate

Apr 4 10:20:19 intranator postfix/smtp[10961]: certificate verification failed for auth.smtp.kundenserver.de: num=21:unable to verify the first certificate

Apr 4 10:20:19 intranator postfix/smtp[10961]: certificate verification failed for auth.smtp.kundenserver.de: num=27:certificate not trusted

Apr 4 10:22:40 intranator postfix/smtp[21751]: certificate verification failed for auth.smtp.kundenserver.de: num=20:unable to get local issuer certificate

Apr 4 10:22:40 intranator postfix/smtp[21751]: certificate verification failed for auth.smtp.kundenserver.de: num=21:unable to verify the first certificate

Apr 4 10:22:40 intranator postfix/smtp[21751]: certificate verification failed for auth.smtp.kundenserver.de: num=27:certificate not trusted

….

Apr 4 10:05:04 intranator postfix/smtp[17085]: Server certificate could not be verified

Apr 4 10:05:04 intranator postfix/smtp[17085]: TLS connection established to auth.smtp.kundenserver.de: TLSv1 with cipher DES-CBC3-SHA (168/168 bits)

Apr 4 10:05:04 intranator postfix/smtp[17085]: Unverified: subject_CN=auth.smtp.kundenserver.de, issuer=Equifax

Apr 4 10:05:04 intranator postfix/smtp[17085]: certificate verification failed for auth.smtp.kundenserver.de: num=20:unable to get local issuer certificate

Apr 4 10:05:04 intranator postfix/smtp[17085]: certificate verification failed for auth.smtp.kundenserver.de: num=21:unable to verify the first certificate

Apr 4 10:05:04 intranator postfix/smtp[17085]: certificate verification failed for auth.smtp.kundenserver.de: num=27:certificate not trusted

Apr 4 10:05:04 intranator postfix/smtp[17085]: setting up TLS connection to auth.smtp.kundenserver.de

Apr 4 10:20:19 intranator postfix/smtp[10961]: Server certificate could not be verified

Apr 4 10:20:19 intranator postfix/smtp[10961]: TLS connection established to auth.smtp.kundenserver.de: TLSv1 with cipher DES-CBC3-SHA (168/168 bits)

Apr 4 10:20:19 intranator postfix/smtp[10961]: Unverified: subject_CN=auth.smtp.kundenserver.de, issuer=Equifax

Apr 4 10:20:19 intranator postfix/smtp[10961]: certificate verification failed for auth.smtp.kundenserver.de: num=20:unable to get local issuer certificate

Apr 4 10:20:19 intranator postfix/smtp[10961]: certificate verification failed for auth.smtp.kundenserver.de: num=21:unable to verify the first certificate

Apr 4 10:20:19 intranator postfix/smtp[10961]: certificate verification failed for auth.smtp.kundenserver.de: num=27:certificate not trusted

Apr 4 10:20:19 intranator postfix/smtp[10961]: setting up TLS connection to auth.smtp.kundenserver.de

Apr 4 10:22:39 intranator postfix/smtp[21751]: setting up TLS connection to auth.smtp.kundenserver.de

Apr 4 10:22:40 intranator postfix/smtp[21751]: Server certificate could not be verified

Apr 4 10:22:40 intranator postfix/smtp[21751]: TLS connection established to auth.smtp.kundenserver.de: TLSv1 with cipher DES-CBC3-SHA (168/168 bits)

Apr 4 10:22:40 intranator postfix/smtp[21751]: Unverified: subject_CN=auth.smtp.kundenserver.de, issuer=Equifax

Apr 4 10:22:40 intranator postfix/smtp[21751]: certificate verification failed for auth.smtp.kundenserver.de: num=20:unable to get local issuer certificate

Apr 4 10:22:40 intranator postfix/smtp[21751]: certificate verification failed for auth.smtp.kundenserver.de: num=21:unable to verify the first certificate

Apr 4 10:22:40 intranator postfix/smtp[21751]: certificate verification failed for auth.smtp.kundenserver.de: num=27:certificate not trusted

Einstellungen sind wie folgt:


Netzwerk-Provider-Profile: Relayserver: auth.smtp.kundenserver.de
- smtp-auth

Dienste-Email-Domains: meinedomain - multidrop
multidropserver: ssl.pop.kundenserver.de
verschlüsselung: Verbindung SSL
multidrop header typ: normaler header
multidrop header: Envelope-To:

Welche Einstellung fehlt bzw. ist verkehrt? Ist ein Zertifikat zu erstellen und wenn ja wie ist dies einzurichten?

Vielen Dank im Voraus!

Thomas

[Gerd von Egidy]

Hallo,

gar nichts ist verkehrt!

Da derzeit erst ein geringer Prozentsatz der Mailserver überhaupt TLS erlaubt ist es besser, eine Verschlüsselung zu machen wenn möglich als gar keine (opportunistisch).

Derzeit gibt es außerdem keine sichere Möglichkeit die Zuordnung von Zertifikat und Domain festzulegen. Die DNS-Einträge können nicht signiert werden und für Email wird eine zweistufige DNS-Auflösung gemacht (MX und dann A) anstatt nur einer einstufigen wie z.B. bei Webservern (nur A).

Deshalb können die Zeritifikate von Mailservern noch nicht überprüft werden. Wir werden diese Fehlermeldungen in der nächsten Version in den Reports unterdrücken.

Herzliche Grüße,

v. Egidy

[Alex]

Hallo Zusammen,

wenn Ihr schon mal dabei seit, wäre es Möglich nachfolgende
Firewallmeldung zusammenzufassen (statistisch):

Apr 27 05:02:12 intranator sshd[11443]: Failed password for root from 204.181.163.188 port 49096 ssh2

Die Meldungen machen das Firefall-Log sehr unübersichtlich.

Gruss

Alex Göke