postfix Must issue a STARTTLS command first. bitte lesen

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
paranoi5
Beiträge: 6
Registriert: 09.07.2009 11:37:25

postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von paranoi5 » 09.07.2009 11:44:24

Hallo,
ich habe einen vserver mit Debian und postfix ist installiert. die smtp Daten haben ich schon alle mit postconf eingegeben.
Wenn ich jetzt aber eine Mail verschicken will steht das in der log:

status=bounced (host smtp.googlemail.com[209.85.129.29] said: 530 5.7.0 Must issue a STARTTLS command first.

Würde mich freuen wenn mir jemand sagen könnte wie ich das jetzt aktiviere oder ähnliches.

Meine Postconf:

Code: Alles auswählen

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = test, ruser, localhost.localdomain, localhost
myhostname = testhost
mynetworks = 127.0.0.0/8
recipient_delimiter = +
relayhost = smtp.googlemail.com
smtp_sasl_auth_enable = no
smtp_sasl_password_maps = hash:/etc/postfix/sasl_password
smtp_sasl_security_options =
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
Über eine schnelle antwort freue ich mich, danke.

gruß

rendegast
Beiträge: 14937
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von rendegast » 09.07.2009 13:34:59

Hier steht darübe eine Menge:
http://www.postfix.org/TLS_README.html
-> Spielen mit diesen Optionen?:
smtp_enforce_tls
smtp_tls_security_level
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

paranoi5
Beiträge: 6
Registriert: 09.07.2009 11:37:25

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von paranoi5 » 09.07.2009 15:45:23

Was soll ich denn da jetzt einstellen und sind es nur die beiden Werte die ich verändern muss?

Hab auch keine Lust zu experimentieren wenn ich nicht weiss welche Werte die haben müssen.

(host smtp.googlemail.com[209.85.129.29] said: 530 5.7.0 Must issue a STARTTLS command first. 28sm18159382fkx.54 (in reply to MAIL FROM command))

wird immernoch ausgegeben...

paranoi5
Beiträge: 6
Registriert: 09.07.2009 11:37:25

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von paranoi5 » 09.07.2009 16:05:50

Hab jetzt
smtp_enforce_tls = no
smtp_tls_security_level = may

Dann kommt das hier in der log:

Code: Alles auswählen

certificate verification failed for smtp.googlemail.com: num=20:unable to get local issuer certificate
Jul  9 14:01:38 test postfix/smtp[9489]: certificate verification failed for smtp.googlemail.com: num=27:certificate not trusted
Jul  9 14:01:38 test postfix/smtp[9489]: certificate verification failed for smtp.googlemail.com: num=21:unable to verify the first certificate
Ich muss das Zertifikat erstellen wenn ja wie?

daniel74
Beiträge: 1755
Registriert: 27.05.2007 14:11:37
Lizenz eigener Beiträge: MIT Lizenz

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von daniel74 » 09.07.2009 20:48:03

paranoi5 hat geschrieben:

Code: Alles auswählen

certificate verification failed for smtp.googlemail.com: num=20:unable to get local issuer certificate
Jul  9 14:01:38 test postfix/smtp[9489]: certificate verification failed for smtp.googlemail.com: num=27:certificate not trusted
Jul  9 14:01:38 test postfix/smtp[9489]: certificate verification failed for smtp.googlemail.com: num=21:unable to verify the first certificate
Ich muss das Zertifikat erstellen wenn ja wie?
Nein, du musst das Zertifikat nicht erstellen...Das Google-Zertifikat ist Postfix unbekannt,daher wird die Meldung protokolliert. Dies kannst du eigentlich ignorieren - es wird dennoch eine sichere Verbindung verwendet.

Ansonsten musst du herausfinden,welches fehlende Zertifikat bemängelt wird und Postfix bekannt machen - das Zertifikat kannst du dann über die Option smtp_tls_CAfile=/etc/postfix/cacert.pem verwenden, in dem du das Zertifikat der Datei cacert.pem hinzufügst.

paranoi5
Beiträge: 6
Registriert: 09.07.2009 11:37:25

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von paranoi5 » 09.07.2009 20:58:11

danke, jetzt bin ich wieder einen schritt weiter.
das blöde ist nur es gibt immer so viel zu konfigurieren, das ist gar nicht so einfach.

jetzt weiss ich aber trotzdem noch nicht wie ich das am besten anstelle.

daniel74
Beiträge: 1755
Registriert: 27.05.2007 14:11:37
Lizenz eigener Beiträge: MIT Lizenz

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von daniel74 » 09.07.2009 22:43:22

paranoi5 hat geschrieben:jetzt weiss ich aber trotzdem noch nicht wie ich das am besten anstelle.
Das Hinzufügen des Google-Zertifikats oder das Versenden von E-Mails über Google?

Für den Versand über Google:

Code: Alles auswählen

relayhost = [smtp.googlemail.com]:587
smtp_sasl_auth_enable = yes
smtp_tls_security_level = may
smtp_sasl_password_maps =  hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
In /etc/postfix/sasl_passwd Benutzername und Kennwort angeben:

Code: Alles auswählen

smtp.googlemail.com example@googlemail.com:passwort
Anschließend den Befehl

Code: Alles auswählen

postmap /etc/postfix/sasl_passwd 
ausführen und Postfix neu starten.

Um das Zertifikat von Google zu deinem Postfix CA-Zertifikat hinzuzufügen:

In /etc/postfix/main.cf dies hinzufügen:

Code: Alles auswählen

smtp_tls_CAfile = /etc/postfix/cacert.pem
Dann kannst du dieser Datei alle "gültigen" Root-CA's hinzufügen. Erstmal musst du herausfinden,welche Root-CA verwendet wird.

Code: Alles auswählen

openssl s_client -connect smtp.googlemail.com:587 -starttls smtp
Ausgabe unter anderem:

Code: Alles auswählen

CN=Thawte Premium Server CA
Also: Root-CA von Thawte herunterladen -> http://www.thawte.com/roots/index.html

In dem Zip-File findest du dann in einem Ordner die Datei Thawte Premium Server CA.pem. Entpacke diese Datei/speichere diese irgndwo ab und führe diesen Befehl aus:

Code: Alles auswählen

cat "Thawte Premium Server CA.pem" >> /etc/postfix/cacert.pem
Mit der Angabe in der main.cf und dem Thawte Zertifikat sollte Postfix das Zertifikat nicht mehr bemängeln.
Zuletzt geändert von daniel74 am 09.07.2009 23:29:36, insgesamt 1-mal geändert.

paranoi5
Beiträge: 6
Registriert: 09.07.2009 11:37:25

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von paranoi5 » 09.07.2009 23:11:19

Vielen Dank für deine mühe. Das Zertifikat was ich herunterladen habe ist auch für googlemail?

Hab alles so gemacht wie du es geschrieben hast, aber jetzt kommt:

Code: Alles auswählen

Jul  9 21:04:03 testuser postfix/smtp[11537]: certificate verification failed for smtp.googlemail.com: num=20:unab                                       le to get local issuer certificate
Jul  9 21:04:03 testuser postfix/smtp[11537]: certificate verification failed for smtp.googlemail.com: num=27:cert                                       ificate not trusted
Jul  9 21:04:03 testuser postfix/smtp[11537]: certificate verification failed for smtp.googlemail.com: num=21:unab                                       le to verify the first certificate
Jul  9 21:04:03 testuser postfix/smtp[11537]: warning: SASL authentication failure: No worthy mechs found
Jul  9 21:04:03 testuser postfix/smtp[11537]: D7F4531E84CE: to=<xxx@googlemail.com>, relay=smtp.googlemail.com[72.14.221.29]:587, delay=0.69, delays=0.13/0.15/0.4/0, dsn=4.7.0, status=deferred (SASL authentication failed; cannot authenticate to server smtp.googlemail.com[72.14.221.29]: no mechanism available)
Hast du eine Ahnung? Danke.

paranoi5
Beiträge: 6
Registriert: 09.07.2009 11:37:25

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von paranoi5 » 09.07.2009 23:18:41

Oh ich hab es endlich geschafft nachdem ich libsasl2-modules installiert hab. Jetzt verschickt er mails :-)
Danke nochmal für deine mühe daniel74

daniel74
Beiträge: 1755
Registriert: 27.05.2007 14:11:37
Lizenz eigener Beiträge: MIT Lizenz

Re: postfix Must issue a STARTTLS command first. bitte lesen

Beitrag von daniel74 » 09.07.2009 23:27:02

Du warst schneller beim Schreiben/Absenden als ich :mrgreen:

Antworten