Nowwhat
10/10/2014, 13h51
Donc: quand tu utilise le comande spécialisé 'openssl' pour engager une connection SSL avec ce serveur 'mail' qui parle aussi 'SSL' et que ça ce passe bien, tu sais que ton serveur posède toutes les données né"cessaires pour créer une connection SSL valide.
Or: postfix ne peut le faire.
Conclusion; ton "untrusted" est le résultat d'un paramétrage de postfix.
Pioche ici: http://www.google.com/search?hl=en&q=postfix+untrusted
Une partie de mon main.cf:
Il faut savoir que j'utilise par domaine un IP(FO)v4.
Même chose pour les IPv6.
Cette partie est important:
Ces données ne sont jamais utilisé, mais je suis oblige de fournir postfix ces options pour que le "engin" SSL s'initialise bien au démarrage.
T'as vu le
?
Il s'agit le répertoire avec toutes les certificats que je 'trust' - c'est probablement ce smtp_tls_CApath qui manque chez toi.
Postfix ne peut donc faire confiance à personne .....
Voila ton 'untrusted' expliqué.
Quand je recoit un mail en ssl, ou quand j'envoi un mail avec ssl, postfix va choisir les bonnes certificats:
Une partie de mon master.cf (réception des mails):
En dessus, ce mon postfixc avec le rôle de "serveru" qui va présenter au client (le type qui veut me filer un mail) MON certificat - et lui (le type) va vérifier ce certificat.
Heuresement, ce certificat est crée par StartSSL, et il est donc plus ou moins connu et valide.
[Note: il s'agit un certicat gratuit chez donc il y a un léger blem quand même... mais bof je me osef ** ]
Et émission (postfix en tant que client == smtp )
Ceci est un peu spécial: suivant le mail sortant en question (le nom de domaine) postfix va choisir le BON IP, de préference un IPv6, it si le IPv6 passe pas, il bascule automatiquement en IPv4.
PSQ: mes certificats ne sont pas auto-certifié, c'est StartSSL qui s'occupe de ça.
Un certificat avec UN sous domaine (i.e. www.test-domaine.fr) est GRATUIT.
Régarde: https://www.test-domaine.fr/ - domaine avec acces SSL - sans message d'erreur dans ton navigateur.
Gratuit.
Avec les complications de paramétrage pour ton serveur web (Apache2) . La partie https - SSL possède son camion plein de paramétrages et autres trucs à savoir. C'est hyper gadget donc très indispensable - très adaptés aux années 2010 !
** Le certificat test-domaine.fr possède qu'UN sous-domaine: www.test-domaine.fr
Mais pas mail.test-domaine.fr.
Le client qui se connecte à mon serveur mail par l'URL mail.test-domaine.fr ne pourait valider l'adresse "mail.test-domaine.fr" comme certifié par le certificat.
Une soution est: mettre comme MX "test-domaine.fr" au lieu de mail.test-domaine.fr ainsi que adapter le HELO de mon serveur .... ou payer 50 $ et demander un vrai certicat avec l'option sous-domaines.
Je me suis dit que je m'arrête la
Or: postfix ne peut le faire.
Conclusion; ton "untrusted" est le résultat d'un paramétrage de postfix.
Pioche ici: http://www.google.com/search?hl=en&q=postfix+untrusted
Une partie de mon main.cf:
.....
# TLS server options
smtpd_tls_cert_file= /root/startssl/un-domaine.tld/ssl.crt
smtpd_tls_key_file= /root/startssl/un-domaine.tld/ssl-decrypted.key
smtpd_tls_CAfile = /root/startssl/startssl-ca-bundle.pem
smtpd_use_tls = yes
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
#smtpd_tls_auth_only = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_loglevel = 1
smtpd_tls_ask_ccert = yes
#smtpd_tls_req_ccert = yes
smtpd_tls_mandatory_protocols = !SSLv2
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5
# TLS client options
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
....
Même chose pour les IPv6.
Cette partie est important:
smtpd_tls_cert_file= /root/startssl/un-domaine.tld/ssl.crt
smtpd_tls_key_file= /root/startssl/un-domaine.tld/ssl-decrypted.key
smtpd_tls_CAfile = /root/startssl/startssl-ca-bundle.pem
T'as vu le
Code:
smtp_tls_CApath = /etc/ssl/certs
Il s'agit le répertoire avec toutes les certificats que je 'trust' - c'est probablement ce smtp_tls_CApath qui manque chez toi.
Postfix ne peut donc faire confiance à personne .....
Voila ton 'untrusted' expliqué.
Quand je recoit un mail en ssl, ou quand j'envoi un mail avec ssl, postfix va choisir les bonnes certificats:
Une partie de mon master.cf (réception des mails):
Code:
# ------------------------------------------------------------------------------------------- # # smtp : server == mail receiving - IPv6 # [2001:41d0:2:927b::15]:smtp inet n - - - - smtpd -o myhostname=mail.test-domaine.fr -o smtp_helo_name=test-domaine.fr -o syslog_name=test-domaine.fr-smtp-client-ipv6 -o smtpd_tls_cert_file=/root/startssl/test-domaine.fr/ssl.crt -o smtpd_tls_key_file=/root/startssl/test-domaine.fr/ssl-decrypted.key -o smtpd_tls_CApath=/etc/ssl/certs ...... # même domaine, IPv4 - receiving mail 5.196.43.182:smtp inet n - - - - smtpd -o myhostname=mail.test-domaine.fr -o smtp_helo_name=mail.test-domaine.fr -o syslog_name=papy-team.org-smtp-client-ipv4 -o smtpd_tls_cert_file=/root/startssl/test-domaine.fr/ssl.crt -o smtpd_tls_key_file=/root/startssl/test-domaine.fr/ssl-decrypted.key -o smtpd_tls_CApath=/etc/ssl/certs .....
Heuresement, ce certificat est crée par StartSSL, et il est donc plus ou moins connu et valide.
[Note: il s'agit un certicat gratuit chez donc il y a un léger blem quand même... mais bof je me osef ** ]
Et émission (postfix en tant que client == smtp )
Code:
test-domaine_fr unix - - n - - smtp -o smtp_bind_address6=2001:41d0:2:927b::15 -o smtp_bind_address=5.196.43.182 -o smtp_helo_name=mail.test-domaine.fr -o syslog_name=test-domaine.fr-transport -o smtp_tls_CAfile=/root/startssl/sub.class1.server.ca.pem -o smtp_tls_security_level=may ....
Code:
test-domaine_fr unix - - n - - smtp
PSQ: mes certificats ne sont pas auto-certifié, c'est StartSSL qui s'occupe de ça.
Un certificat avec UN sous domaine (i.e. www.test-domaine.fr) est GRATUIT.
Régarde: https://www.test-domaine.fr/ - domaine avec acces SSL - sans message d'erreur dans ton navigateur.
Gratuit.
Avec les complications de paramétrage pour ton serveur web (Apache2) . La partie https - SSL possède son camion plein de paramétrages et autres trucs à savoir. C'est hyper gadget donc très indispensable - très adaptés aux années 2010 !
** Le certificat test-domaine.fr possède qu'UN sous-domaine: www.test-domaine.fr
Mais pas mail.test-domaine.fr.
Le client qui se connecte à mon serveur mail par l'URL mail.test-domaine.fr ne pourait valider l'adresse "mail.test-domaine.fr" comme certifié par le certificat.
Une soution est: mettre comme MX "test-domaine.fr" au lieu de mail.test-domaine.fr ainsi que adapter le HELO de mon serveur .... ou payer 50 $ et demander un vrai certicat avec l'option sous-domaines.
Je me suis dit que je m'arrête la