In der/etc/postfix/master.cf folgende Zeile aktiviert:

tlsmgr unix – – n 1000? 1 tlsmgr

Habe aber auch bei postfix noch Änderungen gemacht, daher hier noch
einmal postconf -n

alias_maps = hash:/etc/aliases
biff = no
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter =
daemon_directory = /usr/lib/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
$daemon_directory/$process_name $process_id & sleep 5
defer_transports =
delay_warning_time = 1h
disable_dns_lookups = no
disable_mime_output_conversion = no
html_directory = /usr/share/doc/packages/postfix-doc/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
message_size_limit = 0
message_strip_characters =
mydestination = $myhostname, localhost.$mydomain
mydomain = xxxxxx.xx
myhostname = xxxxx.$mydomain
mynetworks = 127.0.0.0/8
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES
relay_domains = $mydestination, hash:/etc/postfix/relay
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix-doc/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_client_restrictions =
smtpd_enforce_tls = no
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/newcert.pem
smtpd_tls_key_file = /etc/postfix/ssl/newkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_8bitmime = no
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains = hash:/etc/postfix/virtual
virtual_alias_maps = hash:/etc/postfix/virtual

Vielen Dank allen Beteiligten für die Geduld.
Ferdinand

Am 19.12.13 17:48, schrieb Ferdinand Gruber:
> Wie gesagt, ich verwende in Thunderbird die Einstellungen
>
> Port: 25
> Verbindungssicherheit: SSL/TLS
> Authentifizierungsmethode: Passwort/normal

Nein. Du kannst bei openSUSE und SLES auch

smtpd_tls_CApath = /etc/ssl/certs

und bei Bedarf auch

smtp_tls_CApath = /etc/ssl/certs

angeben.

HDH, Werner

—

newreq ist ein New-REQUEST, ein „Request for Signing“. Das ist der
nicht-unterschriebene Schlüssel.

Also:

newreq + CA-Unterschrift = newcert

Du brauchst hier newreq nicht mehr, denn Dein Zertifikat ist ja
(mittlerweile unterschrieben) in newcert.

CAfile bleibt leer — und das ist im Buch auch nicht anders gezeigt.

> Connected to localhost.
> Escape character is ‚^]‘.
> 220 xx.xxxxxxx.xx ESMTP Postfix
> EHLO localhost
> 250-xx.xxxxxxx.xx
> 250-PIPELINING
> 250-SIZE
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-AUTH PLAIN
> 250-AUTH=PLAIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
>
> Sollte eigentlich passen, denke ich.

Sinnvoll ist es, bei diesem Test hier noch einmal STARTTLS einzugeben.
Dann sieht man, ob er hier noch einen Fehler wirft oder bereit ist, TLS
zu sprechen.

> In: STARTTLS
> Out: 454 4.7.0 TLS not available due to local problem

Eben. Es geht also nicht. Und im Logfile von Postfix steht dann auch,
was da los ist. => LESEN.

(Aber vermutlich kann es schon wegen CAfile nicht gehen, siehe oben)

Peer

—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

/etc/postfix/ssl # dir
-rw-r–r– 1 root root 3247 19. Dez 23:40 newcert.pem
-rw——- 1 root root 916 19. Dez 23:40 newkey.pem
-rw-r–r– 1 root root 700 19. Dez 23:40 newreq.pem

Möglicherweise habe ich aber die Verweise nicht richtig
in/etc/postfix/main.cf eingetragen:

smtpd_tls_key_file = /etc/postfix/ssl/newkey.pem
smtpd_tls_cert_file = /etc/postfix/ssl/newcert.pem
smtpd_tls_CAfile = /etc/postfix/ssl/newreq.pem

Das bekomme ich mit telnet:

telnet localhost 25
Trying 127.0.0.1…
Connected to localhost.
Escape character is ‚^]‘.
220 xx.xxxxxxx.xx ESMTP Postfix
EHLO localhost
250-xx.xxxxxxx.xx
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-AUTH=PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Sollte eigentlich passen, denke ich.

Übrigens: Wenn ich in Thunderbird die Option STARTTLS nehme, dann wird
zwar auch kein Mail verschickt, ich bekomme aber vom Server eines retour
mit folgendem Inhalt:

Transcript of session follows.

Out: 220xx.xxxxxxx.xx ESMTP Postfix
In: EHLO [10.0.0.140]
Out: 250-xx.xxxxxxx.xx
Out: 250-PIPELINING
Out: 250-SIZE
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN
Out: 250-AUTH=PLAIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: STARTTLS
Out: 454 4.7.0 TLS not available due to local problem
In: QUIT
Out: 221 2.0.0 Bye

For other details, see the local mail logfile

Danke für weitere Hilfe.
Ferdinand

Folgende Ports sind auf diesem Server offen:

22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s

Wie gesagt, ich verwende in Thunderbird die Einstellungen

Port: 25
Verbindungssicherheit: SSL/TLS
Authentifizierungsmethode: Passwort/normal

Gruß
Ferdinand

—
Ferdinand Gruber
f.gruber@eduhi.at
00 43 7249 48737
00 43 650 542 88 33
Grieskirchner Straße 22
4701 Bad Schallerbach
LPIC-1 zertifiziert

/etc/ssl/certs/dovecot.pem
/etc/ssl/private/dovecot.pem

Ich habe nun die alten Pfade auskommentiert und die neuen
in/etc/postfix/main.cf eingetragen:

# smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
# smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
# smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem

smtpd_tls_key_file = /etc/ssl/private/dovecot.pem
smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem

CAfile finde ich keines. Braucht man das?

Es funktioniert jedenfalls noch nicht.
Die letzte Meldung im Logfile /var/log/mail nach einem Sendeversuch mit
Thunderbird als SMTP Client ist:

Dec 19 17:24:06 xxxxxxx postfix/smtpd[29223]: connect from
212-197-137-81.adsl.highway.telekom.at[212.197.137.81]

Nach einer Weile kommt dann:

Dec 19 17:25:21 xxxxxxx postfix/smtpd[29223]: lost connection after
UNKNOWN from 212-197-137-81.adsl.highway.telekom.at[212.197.137.81]
Dec 19 17:25:21 xxxxxxx postfix/smtpd[29223]: disconnect from
212-197-137-81.adsl.highway.telekom.at[212.197.137.81]

Danke im Voraus für weitere Hilfe
Ferdinand

—
Ferdinand Gruber
f.gruber@eduhi.at
00 43 7249 48737
00 43 650 542 88 33
Grieskirchner Straße 22
4701 Bad Schallerbach
LPIC-1 zertifiziert

> Der im Buch angegebene Pfad /usr/lib/ssl/misc existiert bei mir (Suse
> 13.1) nicht.

/usr/share/ssl/misc

> Warum kann man nicht jene von Dovecot verwenden. Ich habe ja für Dovecot
> ein Zertifikat erzeugt.

Kannst Du. Das ist 1:1 das gleiche.

Peer

—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

Ich sehe im Logfile, dass mein Problem am Zertifikat liegen muss:

warning: cannot get RSA certificate from file
/etc/postfix/ssl/smtpd.crt: disabling TLS support
warning: TLS library problem: 27879:error:02001002:system
library:fopen:No such file or
directory:bss_file.c:404:fopen(‚/etc/postfix/ssl/smtpd.crt‘,’re‘):
warning: TLS library problem: 27879:error:20074002:BIO
routines:FILE_CTRL:system lib:bss_file.c:406:
warning: TLS library problem: 27879:error:140DC002:SSL
routines:SSL_CTX_use_certificate_chain_file:system lib:ssl_rsa.c:722:

In der Anleitung im Postfixbuch scheitere ich schon bei der Erstellung
des Zertifikats.
Der im Buch angegebene Pfad /usr/lib/ssl/misc existiert bei mir (Suse
13.1) nicht.

Wie kann ich die notwendigen Zertifikatdateien für postfix unter Suse
13.1 erstellen?
Warum kann man nicht jene von Dovecot verwenden. Ich habe ja für Dovecot
ein Zertifikat erzeugt.
Der Mailabruf über IMAP funktioniert ja über SSL/TLS.

Fragen über Fragen … :-[

Danke für jeden Tipp
Ferdinand

—
Ferdinand Gruber
f.gruber@eduhi.at
00 43 7249 48737
00 43 650 542 88 33
Grieskirchner Straße 22
4701 Bad Schallerbach
LPIC-1 zertifiziert

> Die Anleitung, nach der ich im Prinzip vorgegangen bin, ist hier zu
> finden und ist wahrscheinlich etwas veraltet:

Postfixbuch, Kapitel 20.2 ab Seite 592.

Peer

—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin