Re: [Exim-users-de] TLS in gesplitteter Debian-Config

Top Page
Delete this message
Reply to this message
Author: Jutta Wrage
Date:  
To: exim-users-de
Subject: Re: [Exim-users-de] TLS in gesplitteter Debian-Config
Hallo Andreas!

Am 25.01.2020 um 14:06 schrieb Andreas Metzler via Exim-users-de:

> Aus der vielgeliebten /usr/share/doc/exim4-base/README.Debian.gz
> (Version buster):
> | 2.2.2. Enabling TLS support for Exim as server
> |
> |    You should have created certificates in /etc/exim4/ either by hand or
> |    by usage of the exim-gencert (which requires openssl). exim-gencert is
> |    shipped in /usr/share/doc/exim4-base/examples/ and takes care of proper
> |    access privileges on the private key file.
> |
> |    Now, enable TLS by setting the macro MAIN_TLS_ENABLE in a local
> |    configuration file as described in Section 2.1.3, "Using Exim
> |    Macros to control the configuration".

>
> Ist das von deiner Seite durchgeführt worden?


Das Problem ist: Ich habe den Exim nicht eingerichtet. Und mir wurde gesagt, daß TLS funktionieren würde.
Ergo habe ich mich zunächst einmal darauf konzentriert, die Sachen in der Config umzusortieren und zu versuchen, mit einem Mail-Clien drauf zuzugreifen. Außerdem mußte ich irgendwie das Aufkommen von 60.000 Spam-Mails pro Tag reduzieren.

Ich habe MAIN_TLS_ENABLE erst einschalten müssen
Und ich habe mit "openssl req -x509 -newkey rsa:1024 -keyout exim-local-cert.crt -out exim-local-cert.crt -days 9999 -nodes" (Aus dem Exim-Buch) einen neuen Key erzeugt und eingebunden.

Jetzt bekomme ich mit dem openssl s_client auch ein Zertifikat angeboten.

Ende der Session:

No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1379 bytes and written 482 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 6DFDD8229DBEB889DB8944474C137252106685143EFDA70D5230D779F6B5DFF8
    Session-ID-ctx:
    Master-Key: 1C31F2322DC2F41CC2C90B89A728406974931514F9472508C0E66D402D892F4E2339B3F7C941F7A1348E18211FF50465
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1579958852
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: yes
---
250 HELP


Das sieht doch schon mal besser aus.

Mit Mail.app kann ich aber noch immer keine Mail absenden. - Wobei ich durch die Fehlversucht erst einmal vom Server gebannt wurde, also das Log nicht ansehen kann.

So, jetzt aber:

Der Versuch von Mail.app, auf den Server zuzugreifen, hat immer noch die folgende Meldung zufolge:

TLS error on connection freom [...] (gnutls_handshake): The TLS connection was non-properly terminated.
In der Zeile mit "no Mail in SMTP connection from steht für alle drei Ports: D=0s C=EHLO,STARTTLS

Wenn ich es direkt mit der Vorgabe versucht, daß Mail.app es nur auf Port 465 versucht, bekomme ich im Exim Log:

SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=hostname_client.dip0.t-ipconnect.de [IP_Client] I=[IP_Server]:465 input="\200C\001\003\001"

dann habe ich noch mal einen "grep " TLS " /var/log/exim4/mainlog" gemacht.

Da ist außer meinen Versuch nur eine Zeile mit TLS, outbound.protection.outlook.com, wo sich Exim über einen "Error n push function" beschwert.

Der Start von Exim sieht so aus laut mainlog:

daemon started: pid=763, -q30m, listening for SMTP on port 25 (IPv6 and IPv4) port 587 (IPv6 and IPv4) and for SMTPS on port 465 (IPv6 and IPv4)

Ach ja:

In der Dovecot-Konfiguration habe ich Das Folgende gegenüber dem Vorschlag auf https://wiki.dovecot.org/HowTo/EximAndDovecotSASL geändert

service auth {
...

#SASL
 unix_listener auth-client {
    mode = 0660
    user = mail
  }
...
}


nach:

service auth {
...

#SASL
 unix_listener auth-client {
    mode = 0660
    user = Debian-exim
  }
...
}


Ob das jetzt funktionieren würde auf Dauer weiß ich nicht.

Gruß und Dank

Jutta

--
http://www.witch.westfalen.de