Sendmail, SASL2, 1und1 und Zertifikate

26/10/2009 - 19:31 von Jörg Klein | Report spam
Hallo,

ich habe eine Frage in Bezug aud Sendmail und SASL2. Mein Internetprovider
ist 1und 1. Ich habe Cyrus sasl in Sendmail komilliert und habe ein
selbstzertifzierten Zertifikat erstellt. Jetzt bekomme ich aber folgende
Fehlermeldung:

Oct 25 18:06:57 data sm-mta[16204]: STARTTLS=server, relay=smmsp@localhost
[127.0.0.1], version=TLSv1/SSLv3, verify=NO, cipher=DHE-DSS-AES256-SHA,
bits%6/256
Oct 25 18:06:58 data sm-mta[27578]: STARTTLS=client, relay=smtp.1und1.de.,
version=TLSv1/SSLv3, verifyúIL, cipher®S256-SHA, bits%6/256

So, wie es aussieht, brauche ich ein (echtes)? SSL Zertifikat? Bekomme ich
dieses Zertifikat von 1und1? Was ist zu tun?

Vielen Dank für die Hilfe

Jörg

Hinweis: ich habe den User und meine Domaine umbenannt.
Genauer: es geht um die folgenden Zeilen:
/var/log/maillog

Oct 25 18:06:31 data sm-mta[27310]: starting daemon (8.14.3):
SMTP+queueing@00:30:00
Oct 25 18:06:57 data sendmail[24862]: n9PH6vcF024862: from=root, sizeH,
class=0, nrcpts=1, msgid=<200910251706.n9PH6vcF024862@domaine.de>,
relay=root@localhost
Oct 25 18:06:57 data sm-mta[16204]: STARTTLS=server, relay=smmsp@localhost
[127.0.0.1], version=TLSv1/SSLv3, verify=NO, cipher=DHE-DSS-AES256-SHA,
bits%6/256
Oct 25 18:06:58 data sendmail[24862]: STARTTLS=client, relay=[127.0.0.1],
version=TLSv1/SSLv3, verifyúIL, cipher=DHE-DSS-AES256-SHA, bits%6/256
Oct 25 18:06:58 data sm-mta[16204]: n9PH6v3J016204: from=root@domaine.de,
size54, class=0, nrcpts=1,
msgid=<200910251706.n9PH6vcF024862@domaine.de.>, proto=ESMTP, daemon=MTA,
relay=smmsp@localhost [127.0.0.1]
Oct 25 18:06:58 data sendmail[24862]: n9PH6vcF024862: to=user@domaine.de,
ctladdr=root (0/0), delay:00:01, xdelay:00:01, mailer=relay,
pri0048,
relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (n9PH6v3J016204 Message
accepted for delivery)
Oct 25 18:06:58 data sm-mta[27578]: STARTTLS=client, relay=smtp.1und1.de.,
version=TLSv1/SSLv3, verifyúIL, cipher®S256-SHA, bits%6/256
Oct 25 18:06:59 data sm-mta[27578]: n9PH6v3J016204: to=<user@domaine.de>,
ctladdr=<root@data.domaine.de> (0/0), delay:00:01, xdelay:00:01, maile
r=relay, pri0354, relay=smtp.1und1.de. [212.227.15.167], dsn=2.0.0,
stat=Sent (Message 0MCMK5-1Mtc5y16Gn-0092qB accepted by
mreu1.kundenserver.de)
Oct 25 18:25:59 data sendmail[7355]: n9PHPxEJ007355: from=root, sizeU,
class=0, nrcpts=1, msgid=<200910251725.n9PHPxEJ007355@data.domaine.de>,
relay=root@localhost
Oct 25 18:25:59 data sendmail[7355]: STARTTLS=client, relay=[127.0.0.1],
version=TLSv1/SSLv3, verifyúIL, cipher=DHE-DSS-AES256-SHA, bits%6/256
Oct 25 18:25:59 data sm-mta[6776]: STARTTLS=server, relay=smmsp@localhost
[127.0.0.1], version=TLSv1/SSLv3, verify=NO, cipher=DHE-DSS-AES256-SHA,
bits%6/256
_______________________________
 

Lesen sie die antworten

#1 Stefan Moeding
26/10/2009 - 21:24 | Warnen spam
Hi!

Jörg Klein writes:

Oct 25 18:06:57 data sm-mta[16204]: STARTTLS=server, relay=
[127.0.0.1], version=TLSv1/SSLv3, verify=NO, cipher=DHE-DSS-AES256-SHA,
bits%6/256
Oct 25 18:06:58 data sm-mta[27578]: STARTTLS=client, relay=smtp.1und1.de.,
version=TLSv1/SSLv3, verifyúIL, cipher®S256-SHA, bits%6/256



Dich stört das "verifyúIL"?
Das kommt vom Client und der kennt offenbar das von 1&1 verwendete
CA-Zertifikat nicht. Die Verbindung ist allerdings trotzdem
verschlüsselt (vgl. cipher/bits).

Hier taucht das nochmal bei der Verbindung innerhalb deines Servers auf:

Oct 25 18:06:58 data sendmail[24862]: STARTTLS=client, relay=[127.0.0.1],
version=TLSv1/SSLv3, verifyúIL, cipher=DHE-DSS-AES256-SHA, bits%6/256



Diesen zweiten Fall habe ich bei mir mittels folgender Eintràge in der
accessdb umgangen:

Try_TLS:127 NO
Srv_Features:127 S

Damit wird bei einer localhost-Verbindung (127.x.x.x) kein TLS/SSL mehr
verwendet. Wer das loopback-Interface abhören kann, hat auch andere
Möglichkeiten, um die Mail abzufangen...

Den ersten Fall kannst du korrigieren, in dem du sendmail das von 1&1
verwendete CA-Zertifikat mitgibst. Das Zertifikat lokal abspeichern und
dann confCACERT im mc-File entsprechend setzen. Bei mir ist das sowas:

define(`confCACERT', `/etc/ssl/certs/My-Root-CA.pem')dnl

Stefan

Ähnliche fragen