[Eisfair] E1: Umstellung auf SSL-Mail

[Marcus Roeckrath]

Hallo Holger,

Marcus Roeckrath wrote:

>>> SMTP_SERVER_TRANSPORT='both'
>>> SMTP_SERVER_TLS_ADVERTISE_HOSTS='*.gmx.net'
>> 
>> Wenn ich diese beiden setze, bekomme ich dieses zu sehen, mit gmx
>> 
>> 24891 SSL_connect succeeded
>> 24891 Cipher: UNKNOWN:ECDHE-RSA-AES256-GCM-SHA384:256
> 
> Und jetzt lösche ich die pem-Datei für mail.gmx.net und bekomme immer noch
> eine verschlüsselte Verbindung:
> 
> 15174 SSL_connect succeeded
> 15174 Cipher: UNKNOWN:ECDHE-RSA-AES256-GCM-SHA384:256
> 
> Wie kann das ohne das passenden Zertifikat auf demeigenn Server überhaupt
> sein?

SMTP_SERVER_TRANSPORT='both'

Hier kann ich auch problemlos `tls` setzen.

SMTP_SERVER_TLS_ADVERTISE_HOSTS=''
SMTP_SERVER_TLS_VERIFY_HOSTS=''
SMTP_SERVER_TLS_TRY_VERIFY_HOSTS=''

Ob in denen etwas steht, hat auf mich keinen augenscheinlichen Effekt.

"ssl_connect succeeded" kommt immer, auch wenn für den angesprochenen
mail-Server überhaupt kein Zertifikat vorhanden ist.

Wenn ich allerdings tls in den Smarthost-Einstellungen aktiviere, geht
nichts mehr.

Kann es so sein:

Die Einstellung Server_Transport "both|tls" führt zu einer verschlüsselten
Verbindung, bei der man vom angerufenen Server einen Session-Key bekommt;
der Verbindungsaufbau ist unverschlüsselt.

Eine Zertifikatsprüfung findet nicht statt.

Erst bei Aktivierung von TLS Smarthost wird eine Zertifikatsprüfung
vorgenommen.

-- 
Gruss Marcus