ispCP - Board - Support
postfix SSL_accept error - Host mail.domain.tld - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: postfix SSL_accept error - Host mail.domain.tld (/thread-8630.html)



postfix SSL_accept error - Host mail.domain.tld - mac_o - 12-01-2009 11:44 PM

Guten Tag,

erst einmal möchte ich mich bei allen hier Helfenden für die vielen hilfreichen Posts bedanken, die ich in den letzten Wochen durchgearbeitet habe.
Nun quält mich seit Stunden dennoch ein Problem, das hier zwar schon unzählige Male erläutert, erklärt und oft auch gelöst wurde. Doch leider haben alle Lösungsansätze nicht zum Erfolg geführt.

Ziel: SMTP-SSL über meinen Mailserver mail.domain.tld

Vorgehensweise: gem. howto Installation der Zertifikate Create the SSL CA

Ergebnis: alle Dienste (Apache, Courier, Postfix, ProFTPD) lassen sich per SSL nutzen

alle? - nun fast, mit einer kleinen Einschränkung

Postfix hat da nach der Installation eine main.cf folgenden Inhalts:

Code:
#
# ispCP ω (OMEGA) a Virtual Hosting Control System
#
# @copyright    2001-2006 by moleSoftware GmbH
# @copyright    2006-2008 by ispCP | http://isp-control.net
# @version              SVN: $Id$
# @link                 http://isp-control.net
# @author               ispCP Team
#
# @license
#   This program is free software; you can redistribute it and/or modify it under
#   the terms of the MPL General Public License as published by the Free Software
#   Foundation; either version 1.1 of the License, or (at your option) any later
#   version.
#   You should have received a copy of the MPL Mozilla Public License along with
#   this program; if not, write to the Open Source Initiative (OSI)
#   http://opensource.org | osi@opensource.org
#
################################################################################​

# Postfix directory settings; These are critical for normal Postfix MTA functionallity
command_directory            = /usr/sbin
daemon_directory             = /usr/lib/postfix

# Some common configuration parameters
inet_interfaces              = all
mynetworks_style             = host

myhostname                   = svr01.domain.tld
mydomain                     = mail.domain.tld.local
myorigin                     = $myhostname

smtpd_banner                 = $myhostname ESMTP ispCP 1.0.2 OMEGA Managed
setgid_group                 = postdrop

# Receiving messages parameters
mydestination                = $myhostname, $mydomain
append_dot_mydomain          = no
append_at_myorigin           = yes
local_transport              = local
virtual_transport            = virtual
transport_maps               = hash:/etc/postfix/ispcp/transport
alias_maps                   = hash:/etc/aliases
alias_database               = hash:/etc/aliases

# Delivering local messages parameters
mail_spool_directory         = /var/mail

# Mailboxquota
# => 0 for unlimited
# => 104857600 for 100 MB
mailbox_size_limit           = 0
mailbox_command              = procmail -a "$EXTENSION"

# Message size limit
# => 0 for unlimited
# => 104857600 for 100 MB
message_size_limit           = 0

biff                         = no
recipient_delimiter          = +

local_destination_recipient_limit = 1
local_recipient_maps         = unix:passwd.byname $alias_database

# ispCP Autoresponder parameters
ispcp-arpl_destination_recipient_limit = 1

# Delivering virtual messages parameters
virtual_mailbox_base         = /var/mail/virtual
virtual_mailbox_limit        = 0

virtual_mailbox_domains      = hash:/etc/postfix/ispcp/domains
virtual_mailbox_maps         = hash:/etc/postfix/ispcp/mailboxes

virtual_alias_maps           = hash:/etc/postfix/ispcp/aliases

virtual_minimum_uid          = 1000
virtual_uid_maps             = static:1000
virtual_gid_maps             = static:8

# SASL paramters
smtpd_sasl_auth_enable       = yes
smtpd_sasl_security_options  = noanonymous
smtpd_sasl_local_domain      =
broken_sasl_auth_clients     = yes

smtpd_helo_required          = yes

smtpd_helo_restrictions      = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_invalid_helo_hostname,
                               reject_non_fqdn_helo_hostname

smtpd_sender_restrictions    = reject_non_fqdn_sender,
                               reject_unknown_sender_domain,
                               permit_mynetworks,
                               permit_sasl_authenticated

smtpd_recipient_restrictions = reject_non_fqdn_recipient,
                               reject_unknown_recipient_domain,
                               permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination,
                               reject_unlisted_recipient,
                               check_policy_service inet:127.0.0.1:12525,
                               check_policy_service inet:127.0.0.1:60000,
                               permit

smtpd_data_restrictions      = reject_multi_recipient_bounce,
                               reject_unauth_pipelining

# TLS parameters; activate, if avaible/used
smtpd_use_tls               = yes
smtpd_tls_loglevel          = 1
smtpd_tls_cert_file         = /etc/postfix/postfix.cert.pem
smtpd_tls_key_file          = /etc/postfix/postfix.key.pem
smtpd_tls_auth_only         = no
smtpd_tls_received_header   = yes

# AMaViS parameters; activate, if available/used
content_filter               = amavis:[127.0.0.1]:10024

#spamassassin daran hindern authentifizierte Users anhand ihrer Ip zu scoren
smtpd_sasl_authenticated_header = yes
receive_override_options = no_address_mappings

# Quota support; activate, if available/used
#virtual_create_maildirsize     = yes
#virtual_mailbox_extended       = yes
#virtual_mailbox_limit_maps     = mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
#virtual_mailbox_limit_override = yes
#virtual_maildir_limit_message  = "The user you're trying to reach is over mailbox quota."
#virtual_overquota_bounce       = yes
~

Meine Maschine heißt svr01.domain.de. Das Postfix Zertifikat habe ich für den Host svr01 erstellt, der Versand der Emails funktioniert in dieser Konfiguration. Allerdings gefällt mir der in den Clients dann anzugebende SMTP Server so nicht. Also habe ich ein neues Zertifikat auf den Host mail.domain.tld erstellt und in der main.cf folgende Änderungen durchgeführt:

Code:
myhostname                   = mail.domain.tld
mydomain                     = mail.domain.tld.local
myorigin                     = $myhostname

und das alte mit dem neuen Zertifikat ersetzt.
Code:
cd /etc/postfix
cp /root/RootCA/server/postfix.cert.pem /root/RootCA/server/postfix.key.pem .
chmod 400 postfix.cert.pem postfix.key.pem

… und ab diesem Zeitpunkt geht nichts mehr:

Quote:Dec 1 10:23:10 svr01 postfix/smtpd[7020]: connect from dslb-092-555-040-031.pools.stindt-ip.net[95.45.40.31]
Dec 1 10:23:10 svr01 postfix/smtpd[7020]: setting up TLS connection from dslb-092-555-040-031.pools.stindt-ip.net[95.45.40.31]
Dec 1 10:23:10 svr01 postfix/smtpd[7020]: SSL_accept error from dslb-092-555-040-031.pools.stindt-ip.net[95.45.40.31]: -1
Dec 1 10:23:10 svr01 postfix/smtpd[7020]: lost connection after STARTTLS from dslb-092-555-040-031.pools.stindt-ip.net[95.45.40.31]
Dec 1 10:23:10 svr01 postfix/smtpd[7020]: disconnect from dslb-092-555-040-031.pools.stindt-ip.net[95.45.40.31]

eine Abfrage per telnet funktioniert aber:

Quote:iMac24:~ paul$ telnet mail.domain.tld 25
Trying 78.233.9.698...
Connected to mail.domain.tld.
Escape character is '^]'.
220 mail.domain.tld ESMTP ispCP 1.0.2 OMEGA Managed
EHLO mail.domain.tld
250-mail.domain.tld
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN CRAM-MD5 DIGEST-MD5 NTLM
250-AUTH=LOGIN PLAIN CRAM-MD5 DIGEST-MD5 NTLM
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
STARTTLS
220 2.0.0 Ready to start TLS

Vielleicht hat jemand für mich einen Gedanken, was ich dann noch ändern muss oder habe ich einen Denkfehler mit dem Zertifikat?
Vielen Dank


RE: postfix SSL_accept error - Host mail.domain.tld - ZooL - 12-02-2009 12:35 AM

unterstützt von haus aus ispCP SSL ? nein... also von mir eigentlich dann auch kein support..
vieleicht hilft die da jemand anderes weiter... aber meiner meinung nach ist es mehr ein
rootserver problem und gehört somit nicht ins ispcp forum...

mfg