[Eisfair] Certs: Sektionen im server.pem

[Juergen Edner]

Hallo Marcus,

> Möchte ich auf dem gleichen Weg das Mailzertifikat des eisfair-
> Servers holen möchte, kommt:
> 
> marcus at lenovo:~> echo "QUIT" | openssl s_client -starttls smtp -connect
> 192.168.1.3:25
> CONNECTED(00000003)
> didn't found starttls in server response, try anyway...

damit ein bestimmtest Protokoll von extern verwendet werden kann,
muss dieses Protokoll vom Server beworben werden, d.h. als verfügbar
angezeigt werden. Dies macht der Server üblicherweise nur für die
Domainen, die Du konfiguriert hast.
Um die Möglichkeit z.B. standardmäßig für alle Zugriffe von extern zur
Verfügung zu stellen, musst Du erst einmal ein offizielles Zertifikat
verwenden, damit dieses auch problemlos von anderen Servern verifiziert
werden kann, und dann in der mail-Konfiguration den Parameter
SMTP_SERVER_TLS_ADVERTISE_HOSTS='*' setzen.
Verwendest Du ein selbst signiertes Zertifikat für den internen
Gebrauch, so solltest Du SMTP_SERVER_TLS_ADVERTISE_HOSTS='*privat.lan'
setzen.

Sobald nun ein SMTP-Zugriff erfolgt und beim EHLO-Befehl die
konfigurierte Domain erscheint, wird auch STARTTLS angezeigt:

# telnet server.privat.lan 25
Trying 192.168.0.5...
Connected to server.privat.lan.
Escape character is '^]'.
220 server.privat.lan ESMTP Exim 4.86 Sun, 28 Feb 2016 12:13:24 +0100
EHLO client.privat.lan                  <<<<<<<<<<<<<<<<
250-server.privat.lan Hello server.privat.lan [192.168.0.5]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH CRAM-MD5
250-STARTTLS                            <<<<<<<<<<<<<<<<
250-PRDR
250-SMTPUTF8
250 HELP

> Ebenso auf Port 587, Port 465 geht nach Aktivierung des ssmtp-Servers, die
> Ports 25 und 587 dann aber immer noch nicht.

Vollständig korrekt, da das veraltete SSMTP keine Aushandlung der
Verschlüsselung vornimmt, sondern dies als gegeben voraussetzt.

> Was müsste man in der Mailkonfiguration ändern, damit auch über Port 25 und
> 587 (STARTTLS) das Zertifikat abrufbar ist.

s.o.

> Unser exim ist so konfiguriert (s. o.), dass ihm das externe Zertifikat des
> entfernten Mailservers vorliegen muss.
> 
> Oder liege ich falsch?

Ja, Du liegst hier falsch. Das Zertifikat des entfernten Servers wird
beim Verbindungsaufbau zur Verfügung gestellt und nur die Zwischen-
und das Root-Zertifikat werden lokal benötigt.
Darüber hinaus solltest Du wissen, dass exim immer einen Fallback auf
eine ungesicherte Verbindung durchführt, wenn Du ihn nicht zwingst nur
TLS zu verwenden.

> Früher waren halt private Teile nicht in der pem-Datei enthalten. :-)

Früher hat auch kaum jemand sich Gedanken über verschlüsselte Verbindung
und Zertifikate gemacht. Als ich vor 13 Jahren eine erste Version des
certs-Paketes heraus gebracht habe haben nur wenige Anwender
das Paket überhaupt verwendet.

> Nur aus Interesse: Wie geheim sind eigentlich die DH-Parameter.

Bis dato habe ich nicht explizit gelesen, dass man die DH-Parameter
geheim halten sollte.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org