Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1281 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  [Postfix] Relay + TLS

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Postfix] Relay + TLS

n°779856
l0ky
Posté le 07-02-2006 à 22:10:37  profilanswer
 

Bonsoir,
Pour résumer, j'ai un problème avec postfix pour le relayer les mails sortant vers le smtp  de gmail en utilisant TLS.

 

Lorsque je ne met pas smtp_enforce_tls a yes, lla session TLS est bien réalisée entre mon serveur est bien réaliée bien que le certificat présenté par gmail n'est pas vérifé. Les mails sont ensuite bien relayés.
En le mettant a yes, étant donné qu'il n'est pas vérifié, la session ne s'établit pas (logique).

 

Donc en gros j'ai un problème pour la vérification du certifcat de google.
Avec la commande

openssl s_client -connect smtp.gmail.com:995 -showcerts


J'ai récupéré le certificat, je l'ai mis dans /etc/postfix/certs
j'ai créé le hash et j'ai fait un lien symbolique

hash.0 -> certificat

 

J'ai fait pareil avec les certificats de Thawte* que j'ai trouvé dans /usr/share/ca-certs....

 

Mais je trouve rien dans les logs qui me dit qu'il chope les bon trucs pour valider le certif

 

Le postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = yes
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = serveur.xxx.org, localhost.localdomain, localhost.localdomain, localhost, xxx.org
myhostname = xxx.org
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost = smtp.gmail.com
smtp_enforce_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options =
smtp_tls_CApath = /etc/postfix/certs
smtp_tls_loglevel = 2
smtp_tls_scert_verifydepth = 0
smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_tls_loglevel = 2
smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

 


Les logs du serveur:

Feb  7 21:56:31 mano postfix/smtp[17552]: initializing the client-side TLS engine
Feb  7 21:56:31 mano postfix/smtp[17552]: setting up TLS connection to gmail-smtp.l.google.com
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:before/connect initialization
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv2/v3 write client hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv2/v3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb  7 21:56:31 mano postfix/smtp[17552]: certificate verification depth=0 subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
Feb  7 21:56:31 mano postfix/smtp[17552]: certificate verification failed for gmail-smtp.l.google.com: num=20:unable to get local issuer certificate
Feb  7 21:56:31 mano postfix/smtp[17552]: verify return: 0
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL3 alert write:fatal:unknown CA
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate B
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect error to gmail-smtp.l.google.com: -1
Feb  7 21:56:31 mano postfix/smtp[17552]: warning: TLS library problem: 17552:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:894:
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL session removed
Feb  7 21:56:31 mano postfix/smtp[17552]: 209AC3E45A: Cannot start TLS: handshake failure
Feb  7 21:56:31 mano postfix/smtp[17552]: setting up TLS connection to gmail-smtp.l.google.com
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:before/connect initialization
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv2/v3 write client hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv2/v3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv3 read server hello A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb  7 21:56:31 mano postfix/smtp[17552]: certificate verification depth=0 subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
Feb  7 21:56:31 mano postfix/smtp[17552]: certificate verification failed for gmail-smtp.l.google.com: num=20:unable to get local issuer certificate
Feb  7 21:56:31 mano postfix/smtp[17552]: verify return: 0
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL3 alert write:fatal:unknown CA
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate B
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL_connect error to gmail-smtp.l.google.com: -1
Feb  7 21:56:31 mano postfix/smtp[17552]: warning: TLS library problem: 17552:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:894:
Feb  7 21:56:31 mano postfix/smtp[17552]: SSL session removed
Feb  7 21:56:31 mano postfix/smtp[17552]: 209AC3E45A: to=<toto@truc.fr>, relay=gmail-smtp.l.google.com[66.249.93.109], delay=4258, status=deferred (Cannot start TLS: handshake failure)

 


Quelqu'un aurait une idée ?


Message édité par o'gure le 29-08-2010 à 15:47:05
mood
Publicité
Posté le 07-02-2006 à 22:10:37  profilanswer
 

n°779889
rex
FON_MonServeurPerso
Posté le 08-02-2006 à 02:01:37  profilanswer
 

Un document qui pourrait peut-être t'aider :
 
http://souptonuts.sourceforge.net/ [...] orial.html

n°779895
l0ky
Posté le 08-02-2006 à 08:03:26  profilanswer
 

c'est entre autre celui sur lequel je me suis basé [:god]

n°780069
e_esprit
Posté le 08-02-2006 à 14:49:00  profilanswer
 

D'après les logs, on dirait qu'il rale car il ne trouve pas le certificat de l'autorité d'emission du certif de Google (ou un truc dans le style :o)

n°780072
l0ky
Posté le 08-02-2006 à 14:51:14  profilanswer
 

ouai ouai c'est bien ca [:petrus75]
 
En fait j'arrive pas à ettre la main sur le certif public de la CA qui lui a signé son certif.
J'ai essayé en mettant le certificat qu'il me présente en trusted mais il en veut pas [:sisicaivrai]

n°780078
e_esprit
Posté le 08-02-2006 à 15:02:42  profilanswer
 

Citation :

0 s:/C=US/ST=California/L=Mountain View/O=Google Inc./CN=pop.gmail.com
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority


Equifax ? [:zaib3k]
A priori il est inclus dans mon /usr/share/ssl/cert.pem (sur une FC)

n°780090
l0ky
Posté le 08-02-2006 à 15:20:29  profilanswer
 


nope:

Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.co


Qui est inclut également dans /etc/ssl/certs..., mais il  veut rien savoir  [:j l b]


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Installation

  [Postfix] Relay + TLS

 

Sujets relatifs
POSTFIX mails absent pourtant présentsPostfix
Probleme de PostfixRelayage Postfix je suis perdu
Utilisation de la variable virtual_mailbox_limit_maps dans POSTFIXImap/Postfix quelquechose m'échappe ..
mail@home : postfix + cyrus + IMP4mail @ home : sendmail/postfix/qmail - cyrus/uw
postfix uw-imap et nbr d'users ?postfix uwimap
Plus de sujets relatifs à : [Postfix] Relay + TLS


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR