Re: [Exim-users-de] TLS in gesplitteter Debian-Config

Top Page
Delete this message
Reply to this message
Author: Jutta Wrage
Date:  
To: exim-users-de
Subject: Re: [Exim-users-de] TLS in gesplitteter Debian-Config
Hallo!

Am 25.01.2020 um 00:28 schrieb Heiko Schlittermann via Exim-users-de:

>  openssl s_client -starttls smtp -connect SERVER:smtp
>    openssl s_client -starttls smtp -connect SERVER:submission
>    openssl s_client                -connect SERVER:submissions


openssl s_client -starttls smtp -connect MAIL_HOST:submission
CONNECTED(00000004)
Didn't find STARTTLS in server response, trying anyway...
140735166466400:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:ssl/record/ssl3_record.c:332:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 330 bytes and written 356 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

Auf der Serverseite starte das ganze mit:

SNMP connect from [...]
SMTP protocol error in "STARTTLS" H=CLIENTHOST (mail.example.com) [My_IP] I=[Server_IP]:587 STARTTLS command used when not advertised

Dann kommen syntax-Error-Meldungen

Beendet wird die Verbindung mit:

[...] dropped: too many syntax or protocol errors (last command was "?\f?")
und
no MAIL in SMTP connection from [...]

Wenn ich den Port 25 direkt anspreche, bekomme ich auf der Seite des s_client eine identische Meldung.

Auf der Seite https://scottlinux.com/2014/06/05/check-for-smtp-tls-from-command-line-with-openssl/
Habe ich ein Beispiel gefunden, wo das TLS funktioniert.

Für mich ist das en Hinweis, daß auf unserem Server irgend etwas in der Configuration fehlt oder falsch ist.

In der Config des Servers steht unter anderem:

MAIN_TLS_CERTIFICATE = CONFDIR/exim.crt
MAIN_TLS_PRIVATEKEY = CONFDIR/exim.key

unter /etc/exim4/ sind exim.crt und exim.key links auf andere Dateien.

Entsprechende symbolische Links habe ich nach Hinweis des anderen Admin auch bei Dovecot eingestellt. Da dort die SSL-Connection funktioniert, weiß ich nicht, ob es an den Links im Verzeichnis /etc/exim4 liegt oder an der Konfiguration des Exim.

Da eine gesplittete Configuration (Debian) verwendet wird, liegen die Konfigurationsdateien in /etc/exim4/conf.de/UMTERVERZEICHNISSE/

Ergebnis grep auf die verwendete Konfiguration:

grep -i tls /var/lib/exim4/config.autogenerated
              +tls_certificate_verified \
              +tls_peerdn \
              +tls_cipher \
MAIN_LOG_SELECTOR = +smtp_protocol_error +smtp_syntax_error +tls_certificate_verified +tls_peerdn
tls_on_connect_ports = 465
.ifdef MAIN_TLS_ENABLE
.ifndef MAIN_TLS_ADVERTISE_HOSTS
MAIN_TLS_ADVERTISE_HOSTS = *
tls_advertise_hosts = MAIN_TLS_ADVERTISE_HOSTS
.ifdef MAIN_TLS_CERTKEY
tls_certificate = MAIN_TLS_CERTKEY
.ifndef MAIN_TLS_CERTIFICATE
MAIN_TLS_CERTIFICATE = CONFDIR/exim.crt
tls_certificate = MAIN_TLS_CERTIFICATE
.ifndef MAIN_TLS_PRIVATEKEY
MAIN_TLS_PRIVATEKEY = CONFDIR/exim.key
tls_privatekey = MAIN_TLS_PRIVATEKEY
.ifndef MAIN_TLS_VERIFY_CERTIFICATES
MAIN_TLS_VERIFY_CERTIFICATES = ${if exists{/etc/ssl/certs/ca-certificates.crt}\
tls_verify_certificates = MAIN_TLS_VERIFY_CERTIFICATES
.ifdef MAIN_TLS_VERIFY_HOSTS
tls_verify_hosts = MAIN_TLS_VERIFY_HOSTS
.ifdef MAIN_TLS_TRY_VERIFY_HOSTS
tls_try_verify_hosts = MAIN_TLS_TRY_VERIFY_HOSTS
.ifdef _HAVE_GNUTLS
tls_dhparam = historic
tls_advertise_hosts =
REMOTE_SMTP_HOSTS_AVOID_TLS = \
.ifdef REMOTE_SMTP_HOSTS_AVOID_TLS
  hosts_avoid_tls = REMOTE_SMTP_HOSTS_AVOID_TLS
.ifdef TLS_DH_MIN_BITS
tls_dh_min_bits = TLS_DH_MIN_BITS
.ifdef REMOTE_SMTP_TLS_CERTIFICATE
tls_certificate = REMOTE_SMTP_TLS_CERTIFICATE
tls_privatekey = REMOTE_SMTP_PRIVATEKEY
.ifdef REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS
  hosts_avoid_tls = REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS
.ifdef REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS
  hosts_require_tls = REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS
.ifdef TLS_DH_MIN_BITS
tls_dh_min_bits = TLS_DH_MIN_BITS
.ifdef REMOTE_SMTP_SMARTHOST_TLS_CERTIFICATE
tls_certificate = REMOTE_SMTP_SMARTHOST_TLS_CERTIFICATE
tls_privatekey = REMOTE_SMTP_SMARTHOST_PRIVATEKEY



Jutta

--
Jutta Wrage