Re: [Exim-users-de] TLS in gesplitteter Debian-Config

Top Page
Delete this message
Reply to this message
Author: Heiko Schlittermann
Date:  
To: exim-users-de
Subject: Re: [Exim-users-de] TLS in gesplitteter Debian-Config
Jutta Wrage via Exim-users-de <exim-users-de@???> (Fr 24 Jan 2020 23:11:09 CET):
> Hallo!
>
> 1. Ich komme mit der gesplitteten Config auf unserem Server nicht klar und hätte gern eine Anleitung - möglichst mit Beispielen.
> Weiß jemand, wo es so etwas gibt? Am besten was zu runterladen und Ausdrucken.


/usr/share/doc/exim4-base/README.Debian.gz

> 2. Das TLS schein nicht korrekt zu funktionieren.
> Bei https://de.ssl-tools.net/mailservers/ habe ich einen Test gemacht und da ist der Server durchgefallen, obwohl ich im Log manchmal Einträge über die cipher finde.


Gut wäre, wenn Du mal das Ergebnis dieses Tests mitteilst. Oder einfach
mal beschreibst, was Du versucht hast und was Du erwartet hattest und
was dann passiert ist. Für fast alles benötigst Du keine solche Tools
wie die o.e. Dingsbums

> Ich habe mal alles, wo TLS drin vorkommt aus der config.autogenerated mit grep rausgesucht.
>
> Mir scheint da fehlt was.
> Und ich weiß auch nicht, ob das in /etc/exim4 verlinkte Zertifikat/der Key funktioniert (also ob Exim da überhaupt drauf zugreifen und es benutzen kann).


Das sagt Dir der Exim im Log, wenn er es nicht kann. Er versucht, als
Debian-exim User drauf zuzugreifen, in dem Augenblick, wo das Zertifikat
benötigt wird.

> 3. Gibt es mehr als nur die Manpage zu openssl und s_client für die Nutzung des s_client? - Ich hätte gern Beispiele, wie ich damit Sachen herausfinden kann.


Ich denke, das Internet ist voll von mehr oder weniger richtigen
Beispielen. Um denen noch welche hinzuzufügen:

    openssl s_client -starttls smtp -connect SERVER:smtp
    openssl s_client -starttls smtp -connect SERVER:submission
    openssl s_client                -connect SERVER:submissions


> Das Mailprogramm, das ich bisher dafür benutz habe, zu testen, ob User zugreifen können, schreibt leider kein Log (älteres Mail.app von Apple). Mit dem Programm kann ich auf den securesmtp von T-online zugreifen und auch bei google und uni-muenster.de, alle verlangen, daß man SSL nutzt. Da ich aber kein Log habe, kann ich ja nicht sehen, was mail.app sendet und als Antworten bekommt.


Du könntest tcpdump verwenden, dann siehst Du wenigstens, ob es
überhaupt was mit TLS versucht.

> Ich sehe nur im Exim-Log, daß Exim keine Erfolgreiche TLS-Verbindung aufbauen kann.


Dafür wird er aber auch etwas mehr erklären. Wenigstens, wenn er sich
selbst für schuldig hält.

> Der Servers sendet im übrigen irgendein Zertifikat, das ich dann einmal manuell bestätigen muß. Bei den nächsten Verbindungen kommt nichts dergleichen. Wo Mail.app das Zertifikat hinlegt, weiß ich nicht, vermutlich in den Schlüsselbund. Aber da kann ich es nicht finden, weil ich nicht weiß, wonach ich in der Liste der Zertifikate im Schüsselbund suchen soll.


Neuere Exim erzeugen bei Bedarf ein selbstsigniertes Zertifikat (steht
in der spec) und erklären das auch jedesmal im Log. Oder Du hast
tatsächlich ein Zertifikat in Verwendung, das nicht zum Hostnamen passt,
so daß dann Dein Client mault. Openssl wird Dir da helfen.

> Ich bin es von früher gewohnt, daß man alles irgendwo vernünftig nachlesen kann. Aber im Moment fühle ich mich doch trotz Exim-Buch und der Spec recht verloren.


Dann musst Du diese Quellen noch mal lesen. Beides ist sehr vernünftig
geschrieben und müsste so ziemlich alle Information enthalten, die Du
benötigst. Plus etwas Fachwissen, das aber mit Exim nichts zu tun hat.

    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
--
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
 gnupg encrypted messages are welcome --------------- key ID: F69376CE -
 ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -