[Postfix] Relay + TLS

Marsh Posté le 07-02-2006 à 22:10:37

Bonsoir,
Pour résumer, j'ai un problème avec postfix pour le relayer les mails sortant vers le smtp de gmail en utilisant TLS.

Lorsque je ne met pas smtp_enforce_tls a yes, lla session TLS est bien réalisée entre mon serveur est bien réaliée bien que le certificat présenté par gmail n'est pas vérifé. Les mails sont ensuite bien relayés.
En le mettant a yes, étant donné qu'il n'est pas vérifié, la session ne s'établit pas (logique).

Donc en gros j'ai un problème pour la vérification du certifcat de google.
Avec la commande

openssl s_client -connect smtp.gmail.com:995 -showcerts

J'ai récupéré le certificat, je l'ai mis dans /etc/postfix/certs
j'ai créé le hash et j'ai fait un lien symbolique

hash.0 -> certificat

J'ai fait pareil avec les certificats de Thawte* que j'ai trouvé dans /usr/share/ca-certs....

Mais je trouve rien dans les logs qui me dit qu'il chope les bon trucs pour valider le certif

Le postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = yes
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = serveur.xxx.org, localhost.localdomain, localhost.localdomain, localhost, xxx.org
myhostname = xxx.org
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost = smtp.gmail.com
smtp_enforce_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options =
smtp_tls_CApath = /etc/postfix/certs
smtp_tls_loglevel = 2
smtp_tls_scert_verifydepth = 0
smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_tls_loglevel = 2
smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

Les logs du serveur:

Feb 7 21:56:31 mano postfix/smtp[17552]: initializing the client-side TLS engine
Feb 7 21:56:31 mano postfix/smtp[17552]: setting up TLS connection to gmail-smtp.l.google.com
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:before/connect initialization
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv2/v3 write client hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv2/v3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb 7 21:56:31 mano postfix/smtp[17552]: certificate verification depth=0 subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
Feb 7 21:56:31 mano postfix/smtp[17552]: certificate verification failed for gmail-smtp.l.google.com: num=20:unable to get local issuer certificate
Feb 7 21:56:31 mano postfix/smtp[17552]: verify return: 0
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL3 alert write:fatal:unknown CA
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate B
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect error to gmail-smtp.l.google.com: -1
Feb 7 21:56:31 mano postfix/smtp[17552]: warning: TLS library problem: 17552:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:894:
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL session removed
Feb 7 21:56:31 mano postfix/smtp[17552]: 209AC3E45A: Cannot start TLS: handshake failure
Feb 7 21:56:31 mano postfix/smtp[17552]: setting up TLS connection to gmail-smtp.l.google.com
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:before/connect initialization
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv2/v3 write client hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv2/v3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:SSLv3 read server hello A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate A
Feb 7 21:56:31 mano postfix/smtp[17552]: certificate verification depth=0 subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
Feb 7 21:56:31 mano postfix/smtp[17552]: certificate verification failed for gmail-smtp.l.google.com: num=20:unable to get local issuer certificate
Feb 7 21:56:31 mano postfix/smtp[17552]: verify return: 0
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL3 alert write:fatal:unknown CA
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect:error in SSLv3 read server certificate B
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL_connect error to gmail-smtp.l.google.com: -1
Feb 7 21:56:31 mano postfix/smtp[17552]: warning: TLS library problem: 17552:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:894:
Feb 7 21:56:31 mano postfix/smtp[17552]: SSL session removed
Feb 7 21:56:31 mano postfix/smtp[17552]: 209AC3E45A: to=<toto@truc.fr>, relay=gmail-smtp.l.google.com[66.249.93.109], delay=4258, status=deferred (Cannot start TLS: handshake failure)

Quelqu'un aurait une idée ?

Message édité par o'gure le 29-08-2010 à 15:47:05

Reply

Marsh Posté le 07-02-2006 à 22:10:37

Reply

Marsh Posté le 08-02-2006 à 02:01:37

Un document qui pourrait peut-être t'aider :

http://souptonuts.sourceforge.net/ [...] orial.html

Reply

Marsh Posté le 08-02-2006 à 08:03:26

c'est entre autre celui sur lequel je me suis basé [:god]

Reply

Marsh Posté le 08-02-2006 à 14:49:00

D'après les logs, on dirait qu'il rale car il ne trouve pas le certificat de l'autorité d'emission du certif de Google (ou un truc dans le style )

Reply

Marsh Posté le 08-02-2006 à 14:51:14

ouai ouai c'est bien ca [:petrus75]

En fait j'arrive pas à ettre la main sur le certif public de la CA qui lui a signé son certif.
J'ai essayé en mettant le certificat qu'il me présente en trusted mais il en veut pas [:sisicaivrai]

Reply

Marsh Posté le 08-02-2006 à 15:02:42

Citation :

0 sC=US/ST=California/L=Mountain View/O=Google Inc./CN=pop.gmail.com
iC=US/O=Equifax/OU=Equifax Secure Certificate Authority

Equifax ? [:zaib3k]
A priori il est inclus dans mon /usr/share/ssl/cert.pem (sur une FC)

Message cité 1 fois

Reply

Marsh Posté le 08-02-2006 à 15:20:29

e_esprit a écrit :

Equifax ? [:zaib3k]

nope:

Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.co

Qui est inclut également dans /etc/ssl/certs..., mais il veut rien savoir [:j l b]

Reply

[Postfix] Relay + TLS

Sujets relatifs:

Leave a Replay