[Eisfair] Smtp mit ssl

Juergen Edner juergen at eisfair.org
Di Dez 23 17:08:56 CET 2014 

Hallo Michael,

> SMTP_QUALIFY_DOMAIN =  MeineDomain.tv
> SMTP_HOSTNAME       =  server.MeineDomain.tv

nur zur Informationen, Domainnamen sollten üblicherweise nur
in Kleinbuchstaben geschrieben werden. Falls Du nur in diesem
Beispiel die Schreibweise so gewählt haben solltest, kannst
Du dieses Hinweis überspringen.
Darüber hinaus solltest Du beachten, dass die Top Level Domain
".tv" dem Inselstaat Tuvalu gehört und Du diese nur dann verwenden
solltest, wenn Du dort auch eine offizielle Domain registriert hast.
Andernfalls kann es unter Umständen zu Fehlleitungen von E-Mails
kommen ;-)
Weiterhin ist zu beachten, dass Du Dein TLS-Zertifikat natürlich auf
den Domainnamen ausgestellt haben sollte über welchen Du auf den Server
zugreifst. Falls dies nicht der Fall ist kommt es üblicherweise zu
Zertifikatsfehlermeldungen.

> SMTP_SERVER_TLS_ADVERTISE    =  *                                       

Falls Du eine offiziell registrierte Domain verwendest, kann der
Parameter so stehen bleiben. Falls Du ein selbst signiertes Zertifikat
verwendest, solltest Du die Bereitstellung eines Zertifikates auf Dein
lokales LAN beschränken, indem Du z.B. "*MeineDomain.tv" setzt.

> Seitdem ich den Parameter SMTP_SERVER_TLS_ADVERTISE    = * gesetzt habe,
> bekomme ich nun die Fehlermeldung, dass "454 TLS currently unavailable"
> ist. (Zumindest auf dem Android-Gerät, Thunderbird ist da allgemeiner
> "Fehler beim Senden der NAchricht: Eine sichere Verbindung mit dem
> SMTP-Server Server.MeineDomain.tv kann nicht mir STARTTLS aufgebau
> werden, da der Server diese Funktion nicht angibt. Schalten Sie STARTTLS
> für diesen Server ab oder kontaktieren Sie Ihren Anbieter des
> E-Mail-Dienstes")

Grundsätzlich solltest Du wissen, dass Android-Geräte sich etwas
widerspenstiger anstellen, wenn es um die Verwendung von selbst
signierten Zertifikaten geht, deshalb schlage ich vor erst einmal
nur Thunderbird zu testen.

> Das ist ja schon einmal ein Fortschritt oder?
> 
> Habe daraufhin mal das Logfile des Mailservers durchforstet und bin auf
> die folgende Meldung gestoßen: "2014-12-23 09:49:07 TLS error on
> connection from ([192.168.0.213]) [192.168.0.213] (Could not read
> tls_dhparams "/usr/local/ssl/certs/exim.pem"): error:2D06C06E:FIPS
> routines:FIPS_module_mode_set:fingerprint does not match 
> 
> Das spricht doch für einen zertifikatsfehler oder?

Dein exim-Serverzertifikat im PEM-Format sollte in diesem Fall drei
Komponentenenthalten enthalten, die an folgenden Blöcken zu erkennen
sind:

-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----

-----BEGIN DH PARAMETERS-----
...
-----END DH PARAMETERS-----

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Sieht Deine Zertifikatsdatei so aus?

> Lustigerweise klappt starttls im zusammenhang mit IMAP. Da beschwert
> sich Thunderbird auch über das selbsterstellte Zertifikat. Nach dem
> akzeptieren geht aber IMAP.

Ahh, ein selbst signiertes Zertifikat.
Wie lautet die Meldung "exakt" die angezeigt wird?
Welchen Domainnamen hast Du im Zertifikat verwendet?
Kannst Du über den im Zertifikat verwendeten Domainnamen den Server
anpingen?
Hast Du das CA-Zertifikat Deiner CA in den Zertifikats-Cache Deines
Servers importiert?

> Und das EXIM-Zertifikat ist doch "nur" ein Link auf das IMAP-Zertifikat
> oder?

Wenn das Zertifikat korrekt erstellt wurde lautet die Antwort "ja".

> Das ist die Standart-App die bei Android dabei war, habe keine separate
> App installiert.
> Einstellungen sind recht beschränkt: keine, SSL/TLS, SSL/TLS (alle
> Zertifikate akzepieren), STARTTLS, STARTTLS (alle zertifikate
> akzeptieren).
> Ich habe STARTTLS (alle Zertifikate akzeptieren gewählt)

Dies ist die korrekte Vorgehensweise wenn man ein selbst signiertes
Zertifikat verwendet. Üblicherweise sollte man das CA-Zertifikat der
eigenen CA noch in den Zertifikats-Cache des Telefons übertragen.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair