Postfix TLS траблы

coced · Сообщение **coced** » 18 мар 2005, 18:25

Всем привет!
Не получается сделать отправку почты через TLS
Виндовый клиент пишет:

"Сервер сообщает об ошибке: TLS not available due to temporary reason"

Сервер:
FreeBSD 5.3
postfix-2.2.1

(make makefiles CCARGS="-DUSE_TLS -I/usr/local/include -DHAS_MYSQL -I/usr/local/include/mysql -DUSE_SASL_AUTH -I/usr/local/include/sasl" AUXLIBS="-R/usr/local/lib -L/usr/local/lib -lssl -lcrypto -L/usr/local/lib/mysql -lmysqlclient -lz -lm -L/usr/local/lib -lsasl2")

OpenSSL 0.9.7e 25 Oct 2004

Код: Выделить всё

(make WITH_OPENSSL_PORT=yes install clean)

# postconf | grep -i tls

Код: Выделить всё

smtp_enforce_tls = no
smtp_sasl_tls_security_options = $var_smtp_sasl_opts
smtp_starttls_timeout = 300s
smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtp_tls_CApath = 
smtp_tls_cert_file = /etc/postfix/ssl/host-cert.pem
smtp_tls_cipherlist = 
smtp_tls_dcert_file = 
smtp_tls_dkey_file = $smtp_tls_dcert_file
smtp_tls_enforce_peername = yes
smtp_tls_key_file = /etc/postfix/ssl/host-key.pem
smtp_tls_loglevel = 0
smtp_tls_note_starttls_offer = no
smtp_tls_per_site = 
smtp_tls_scert_verifydepth = 5
smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
smtp_tls_session_cache_timeout = 3600s
smtp_use_tls = yes
smtpd_enforce_tls = no
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_starttls_timeout = 300s
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_CApath = 
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = no
smtpd_tls_ccert_verifydepth = 5
smtpd_tls_cert_file = /etc/postfix/ssl/host-cert.pem
smtpd_tls_cipherlist = 
smtpd_tls_dcert_file = 
smtpd_tls_dh1024_param_file = 
smtpd_tls_dh512_param_file = 
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_key_file = /etc/postfix/ssl/host-key.pem
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_req_ccert = no
smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_wrappermode = no
smtpd_use_tls = yes
tls_daemon_random_bytes = 32
tls_random_bytes = 32
tls_random_exchange_name = ${config_directory}/prng_exch
tls_random_prng_update_period = 3600s
tls_random_reseed_period = 3600s
tls_random_source = dev:/dev/urandom

Ключи делались по статье
http://www.postfix.org/TLS_README.html
(Getting started, quick and dirty)

main.cf:

Код: Выделить всё

smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtp_tls_cert_file = /etc/postfix/ssl/host-cert.pem
smtp_tls_key_file = /etc/postfix/ssl/host-key.pem
smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
smtp_use_tls = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_cert_file = /etc/postfix/ssl/host-cert.pem
smtpd_tls_key_file = /etc/postfix/ssl/host-key.pem
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
smtpd_use_tls = yes   
tls_random_source = dev:/dev/urandom

Кто нить может помочь разобраться в чем тут может быть дело?

Сообщение **Stranger03** » 18 мар 2005, 18:50

Вот здесь очень подробно написано:
http://www.opennet.ru/base/net/postfix_tls.txt.html

coced · Сообщение **coced** » 18 мар 2005, 20:43

Stranger03 писал(а):Вот здесь очень подробно написано:
http://www.opennet.ru/base/net/postfix_tls.txt.html

Не поверишь - с опорой на это и настраивал

Не работает хоть убий
Точнее не работает STARTTLS, на 465 порту все худо бедно работает.

Код: Выделить всё

[postfix]# telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.savelovo.net.
Escape character is '^]'.
220 mt.net ESMTP Postfix
ehlo aol.com
250-megadot.savelovo.net
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250 8BITMIME
starttls
220 Ready to start TLS

в логах:

Код: Выделить всё

Mar 18 20:36:55 mt postfix/smtpd[46249]: SSL_accept error from localhost[127.0.0.1]: -1
Mar 18 20:36:55 mt postfix/smtpd[46249]: warning: TLS library problem: 46249:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:585:
Mar 18 20:36:55 mt postfix/smtpd[46249]: lost connection after STARTTLS from localhost[127.0.0.1]
Mar 18 20:36:55 mt postfix/smtpd[46249]: disconnect from localhost[127.0.0.1]

что пишет бат - я уже писал, а в логах в этот момент

Код: Выделить всё

postfix/master[10618]: daemon started -- version 2.2.1, configuration /etc/postfix 
postfix/smtpd[10622]: initializing the server-side TLS engine 
postfix/smtpd[10622]: connect from 47.pppoe.mtu-net.ru[x.x.x.x] 
postfix/smtpd[10622]: disconnect from 47.pppoe.mtu-net.ru[x.x.x.x]

Сообщение **Stranger03** » 21 мар 2005, 10:24

Код: Выделить всё

Mar 18 20:36:55 mt postfix/smtpd[46249]: warning: TLS library problem: 46249:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:585:

Как мне кажется стоит проверить:
1. правильно ли опознается хост во время коннекта
2. есть ли запись в services о данном сервисе/протоколе
3. корректно ли установлены библиотеки (может имеет смысл удалить, очистить, обновить все порты, заново поставить)
4. возможно есть разница в реализации протоколов МС и фри, возможно надо добавить поддержку именно МС протокола (аля мс авторизации и шифрования в ppp).

Сообщение **Stranger03** » 21 мар 2005, 11:16

стоит еще кстати проверить, с какими библиотеками слинкован постфикс:

Код: Выделить всё

ldd /usr/sbin/postfix

Есть ли там sasl

Сообщение **Stranger03** » 21 мар 2005, 11:32

Ну и вот еще переписку почитать, там есть много чего полезного,

.

http://www.akeeper.ru/viewtopic.php?t=1 ... c&start=75

coced · Сообщение **coced** » 21 мар 2005, 12:50

Stranger03 писал(а):стоит еще кстати проверить, с какими библиотеками слинкован постфикс:
Код: Выделить всё
ldd /usr/sbin/postfix
Есть ли там sasl

Код: Выделить всё

/usr/sbin/postfix:
        libssl.so.3 => /usr/local/lib/libssl.so.3 (0x28082000)
        libcrypto.so.3 => /usr/local/lib/libcrypto.so.3 (0x28148000)
        libmysqlclient.so.14 => /usr/local/lib/mysql/libmysqlclient.so.14 (0x28237000)
        libz.so.2 => /lib/libz.so.2 (0x28335000)
        libm.so.3 => /lib/libm.so.3 (0x28345000)
        libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x2835f000)
        libpcre.so.0 => /usr/local/lib/libpcre.so.0 (0x28373000)
        libc.so.5 => /lib/libc.so.5 (0x2837f000)
        libcrypt.so.2 => /lib/libcrypt.so.2 (0x28458000)

Сообщение **Stranger03** » 25 мар 2005, 14:44

На http://www.akeeper.ru на форуме была большая переписка на тему неработоспособности такой связки, но к сожалению он сейчас отсутсвует. Какие-то проблемы с ДНС.

Postfix TLS траблы

Postfix TLS траблы

Re: Postfix TLS траблы

Re: Postfix TLS траблы

Re: Postfix TLS траблы

Re: Postfix TLS траблы

Re: Postfix TLS траблы

Re: Postfix TLS траблы

Re: Postfix TLS траблы

Кто сейчас на конференции