* Jochen Fahrner jf@fahrner.name:
Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
Ok, hab ich gemacht. Gruppe sasl fehlte auch.
Eins ist aber immer noch merkwürdig: Bei Mails zu web.de ist die Verbindung jetzt "Trusted" und ich sehe auch welches Root-CA benötigt wurde.
Zu den meisten anderen ist die Verbindung jedoch nur "untrusted" und es fehlt auch die Angabe des Root-CA. Kann das sein dass die Mehrzahl nur selfsigned Zertifikate besitzt?
Ja, darauf würde ich jetzt mal ohne "die Mehrzahl" abgeklappert zu haben auch tippen. Den Meisten reicht es, wenn sie mit einer selbstsignierten, verschlüsselten Verbindung "Datenintegrität", "Privatsphäre" und ggf. "Zugangskontrolle" herstellen können. Auf "Authentizität" (Identität) legen sie scheinbar nicht denselben Wert.
Ob ein cert selfsigned ist, kannst du ggf. mit openssl auf der Kommandozeile nachvollziehen. Das hier ist selfsigned:
$ openssl s_client -starttls smtp -CAfile /etc/ssl/certs/ca-certificates.crt -connect mail.sy4.de:25
... Verify return code: 18 (self signed certificate) ...
Das hier passt:
$ openssl s_client -starttls smtp -CAfile /etc/ssl/certs/ca-certificates.crt -connect mail.sys4.de:25
... Verify return code: 0 (ok) ...
Und auch seltsam: zu GMX bekomme ich outbound ein "Trusted", inbound aber nur "untrusted". Ist da bei mir noch was schief, oder bei GMX?
Es obliegt dem Client zu entscheiden, ob eine STARTTLS-Verbindung aufgebaut wird. Die RFCs fordern sogar ausdrücklich, dass ein öffentlich (!) erreichbarer SMTP-Server nicht zwingend STARTTLS einfordern darf, weil nicht vorausgesetzt werden kann, das der Client es auch beherrscht.
Das würde ich bei GMX jetzt schon voraussetzen. Wir müssten die GMXler fragen, warum deren Mailserver das Angebot Deines Servers nicht wahrnehmen.
p@rick