Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

[exim] TLS aktivieren

35 views
Skip to first unread message

Christian H. Kuhn

unread,
May 7, 2006, 10:14:48 AM5/7/06
to
Hallo Gemeinde,

Auf die Empfehlung von Christian Schmidt hin hab ich mich versucht in TLS
mit exim einzulesen. Ich möchte also meinen exim so konfigurieren, dass
eingetragene User von überall her mit ihren Unix-Passwörtern Mail über
diesen Server verschicken können. Dafür möchte ich den saslauthd verwenden,
nicht den Cyrus-SASL.

Also in der exim4-conf.template die entsprechenden Zeilen entkommentiert:

plain_saslauthd_server:
driver = plaintext
public_name = PLAIN
server_condition = ${if saslauthd{{$2}{$3}}{1}{0}}
server_set_id = $2
server_prompts = :
.ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
.endif

login_saslauthd_server:
driver = plaintext
public_name = LOGIN
server_prompts = "Username:: : Password::"
server_condition = ${if saslauthd{{$1}{$2}}{1}{0}}
server_set_id = $1
.ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
.endif

Aus vergangener Erfahrung noch im Main

auth_advertise_hosts = *

eingetragen.

Schließlich hab ich noch herausgefunden, dass ich MAIN_TLS_ENABLE setzen
muss. Wenn ich jetzt die server_advertise_conditions auskommentiere (falls
nicht, bringt der telnet keine AUTH, wie auch, ist ja unverschlüsselt),
bekomme ich nach einem telnet auf port 25 und ehlo:

qno@multi ~ $ telnet mail3 25
Trying 85.25.66.208...
Connected to mail3.qno.de.
Escape character is '^]'.
220 mail3.qno.de ESMTP Exim 4.50 Sun, 07 May 2006 16:09:21 +0200
ehlo qno.de
250-mail3.qno.de Hello p54aa0fbf.dip0.t-ipconnect.de [84.170.15.191]
250-SIZE 52428800
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP

Also ist wohl alles da, was ich haben möchte.

Allerdings will mir kein Mailversand gelingen. KMail bringt einen

Das Versenden ist fehlgeschlagen:
Unbekannter Fehlercode 50
Ihr SMTP-Server unterstützt das TSL-Protokoll nicht. Deaktivieren Sie TLS im
Kontrollzentrum, falls Sie eine unverschlüsselte Verbindung aufbauen
möchten (Persönliche Einstellungen -> Verschlüsselung).
Bitte schicken Sie einen ausführlichen Problembericht an
http://bugs.kde.org.
Die Nachricht verbleibt im Postausgang, bis Sie entweder das Problem
beseitigt haben (z. B. falsche Adresse) oder die Nachricht aus dem
Postausgang entfernen.
Das folgende Transportprotokoll wurde benutzt:
mail3-ssl

Wird in KMail auf TLS verzichtet, klappt der Versand. Aber das ist ja gerade
das, was vermieden werden soll.

Was hab ich falsch gemacht?

mfg
Christian

--
Ich kenne einige, die sich die Rehabilitierung ihrer Lieblingseröffnung
zur Lebensaufgabe gemacht haben. Sie versuchen laufend etwas zu beweisen,
was u.U. gar nicht bewiesen werden kann, weil es falsch ist. Damit haben
sie Wesentliches mit Wissenschaftlern gemeinsam. F. Volkmann in dags

Clemens Zauner

unread,
May 7, 2006, 1:44:14 PM5/7/06
to
Christian H. Kuhn <offi...@qno.de> wrote:
>
> Wird in KMail auf TLS verzichtet, klappt der Versand. Aber das ist ja gerade
> das, was vermieden werden soll.
> Was hab ich falsch gemacht?

Dein Exim kann nicht wirklich TLS; er meckert mit:
454 TLS currently unavailable
retour. Die genaue Ursache sollte bei dir im Log stehen.
Wahrscheinlich kann der die Zertifikate nicht einlesen.

cu
Clemens.
--
/"\ http://czauner.onlineloop.com/
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \ AND POSTINGS

Christian Schmidt

unread,
May 7, 2006, 1:55:39 PM5/7/06
to
Hallo Namensvetter,

Christian H. Kuhn schrieb/wrote:

> Auf die Empfehlung von Christian Schmidt hin hab ich mich versucht in TLS
> mit exim einzulesen. Ich möchte also meinen exim so konfigurieren, dass
> eingetragene User von überall her mit ihren Unix-Passwörtern Mail über
> diesen Server verschicken können. Dafür möchte ich den saslauthd verwenden,
> nicht den Cyrus-SASL.

OK.
Der saslauthd ist auch schon installiert, konfiguriert und angeworfen?

> Also in der exim4-conf.template die entsprechenden Zeilen entkommentiert:

Hmmm, mit dem Debian-Style der exim4-konfiguration konnte ich mich
bisher noch nicht anfreunden - liegt aber vermutlich an mir.

> plain_saslauthd_server:
[..]
> login_saslauthd_server:
[..]
IMHO alles OK so.

> Aus vergangener Erfahrung noch im Main
> auth_advertise_hosts = *
> eingetragen.

OK.

> Schließlich hab ich noch herausgefunden, dass ich MAIN_TLS_ENABLE setzen
> muss. Wenn ich jetzt die server_advertise_conditions auskommentiere (falls
> nicht, bringt der telnet keine AUTH, wie auch, ist ja unverschlüsselt),
> bekomme ich nach einem telnet auf port 25 und ehlo:
>
> qno@multi ~ $ telnet mail3 25
> Trying 85.25.66.208...
> Connected to mail3.qno.de.
> Escape character is '^]'.
> 220 mail3.qno.de ESMTP Exim 4.50 Sun, 07 May 2006 16:09:21 +0200
> ehlo qno.de
> 250-mail3.qno.de Hello p54aa0fbf.dip0.t-ipconnect.de [84.170.15.191]
> 250-SIZE 52428800
> 250-PIPELINING
> 250-AUTH PLAIN LOGIN
> 250-STARTTLS
> 250 HELP
>
> Also ist wohl alles da, was ich haben möchte.
>
> Allerdings will mir kein Mailversand gelingen. KMail bringt einen

> Unbekannter Fehlercode 50
[..]

Was loggt exim denn waehrenddessen?

Ein selbstsigniertes Server-Zertifikat hast Du Dir erstellt?
<http://www.apache-ssl.org> hat sonst auf der Startseite die noetigen
3 Befehle parat. Nur einbinden musst Du Zertifikat und Key dann noch
in Deine exim-Konfiguration.

> Wird in KMail auf TLS verzichtet, klappt der Versand. Aber das ist ja gerade
> das, was vermieden werden soll.
>
> Was hab ich falsch gemacht?

Davon ausgehend, dass Du Deinen Konfigurationsaenderungen auch immer
schoen mit update-exim4.conf und/oder einem exim-Restart Wirkung
verliehen hast, wuerden mir spontan irgendwelche Probleme mit dem
Zertifikat/Key einfallen.

Damit Du nicht immer in kMail herumklicken musst, solltest Du Dir zum
Testen mal das Tool "swaks" ansehen. Damit kannst Du Dir die Parameter
zum Austesten von SMTP-Verbindungen in eine Datei schreiben - das
erspart Dir dann einiges an Getippe mit telnet.
swaks beherrscht auch TLS/SSL und Authentifizierung.
Mit dem, was swaks Dir dann ausgibt und den exim-Logs kommst Du dem
Fehler sicherlich auf die Spur.

Gruss,
Christian
--
Christian Schmidt | Germany | ChriS...@gmx.de
No HTML Mails, please!!
De eene hett 'n Rittergut, de annere ritt 'n Gitter rut.

Christian H. Kuhn

unread,
May 7, 2006, 2:57:14 PM5/7/06
to
Hallo Clemens,

Ich bin ja immer wieder erstaunt, wie gut die Glaskugeln anderer Leute
funktionieren :-)

& dixit Clemens Zauner:


> Wahrscheinlich kann der die Zertifikate nicht einlesen.

So ist es:

2006-05-07 20:48:50 TLS error on connection from
p54aa0fbf.dip0.t-ipconnect.de (multi.qno.de) [84.170.15.1
91] (cert/key setup: cert=/etc/exim4/exim.crt key=/etc/exim4/exim.key):
Base64 decoding error.

Ich hab auch so eine Vermutung, was da los ist: Auf dem System, das key und
crt erzeugt hat, ist LANG und LC_ALL=de_DE.utf8; auf dem System, auf dem
der exim läuft, de_DE@euro, also latin9. Sofern ich den Wikipedia-Artikel
richtig verstanden habe, könnte das dazu führen, dass das Dekodieren zu
etwas führt, was auf dem Zielsystem nicht wirklich lesbar ist!?

Liege ich mit meiner Vermutung richtig? Gibts dafür Abhilfen? less zeigt
jedenfalls Zertifikat und Key auf beiden Systemen identisch an.

mfg
Christian

--
Es gibt vier Millionen Analphabeten in D. Also per Definition Leute,
die entweder nicht schreiben und lesen können oder nur so schlecht, dass
zumutbarer Schriftverkehr mit Ihnen unmöglich ist. Nur - was wollen alle
im Usenet, im mittleren Managemant und im Webdesign ? (JEG in dasr)

christian mock

unread,
May 7, 2006, 3:08:48 PM5/7/06
to
Christian H. Kuhn <offi...@qno.de> wrote:

> 2006-05-07 20:48:50 TLS error on connection from
> p54aa0fbf.dip0.t-ipconnect.de (multi.qno.de) [84.170.15.1
> 91] (cert/key setup: cert=/etc/exim4/exim.crt key=/etc/exim4/exim.key):
> Base64 decoding error.
>
> Ich hab auch so eine Vermutung, was da los ist: Auf dem System, das key und
> crt erzeugt hat, ist LANG und LC_ALL=de_DE.utf8; auf dem System, auf dem
> der exim läuft, de_DE@euro, also latin9. Sofern ich den Wikipedia-Artikel

kann ich mir nur schwer vorstellen, da wär dann was oberfaul -- der
punkt bei base64 ist ja gerade, nur zeichen zu verwenden, die der
hinsicht problemlos sind.

probier einmal

openssl x509 -noout -text -in exim.crt
openssl rsa -noout -text -in exim.key

dann siehst du, ob und bei welchem der files er meckert.

ciao,

cm.

--
** christian mock in vienna, austria -- http://www.tahina.priv.at/~cm/
Wenn ich die Wahl hätte, bei Google mit Hodenpiercings oder mit
"Karma-Astrologie" in Verbindung gebracht zu werden, ich wüsste, wofür
ich mich entscheiden würde ... -- Henning Schlottmann in dsrd

Christian H. Kuhn

unread,
May 7, 2006, 3:46:18 PM5/7/06
to
Hallo Christian,

Ich muss doch noch mehr lesen ...

& dixit christian mock:


> probier einmal
>
> openssl x509 -noout -text -in exim.crt
> openssl rsa -noout -text -in exim.key
>
> dann siehst du, ob und bei welchem der files er meckert.

Meckern tut er gar nicht, er will bloß die Passphrase vom key ... Also
-nodes in CA.pl zugefügt, die Dateirechte nach Übertragung auf 640
root:Debian-exim geändert, klappt.

Jetzt noch der Test, bei dem die server_advertise_condition nicht
auskommentiert ist: klappt auch.

Danke an alle für die Hilfe.

mfg
Christian

--
| .-. | Diese Nachricht wurde erstellt mit | .-. |
| /v\ | Hilfe eines freilaufenden Pinguins | /v\ |
| /( )\ | aus artgerechter Freiland Haltung ! | /( )\ |
| ^^ ^^ | <= Tux the penguin => | ^^ ^^ |

Christian H. Kuhn

unread,
May 7, 2006, 3:48:08 PM5/7/06
to
Hallo Christian,

& dixit Christian Schmidt:


> Damit Du nicht immer in kMail herumklicken musst,

Das finde ich jetzt gar nicht so störend. Einmal die Config eingeben, eine
Mail versenden, die bleibt solange im Postausgang, bis es klappt :-)

> solltest Du Dir zum
> Testen mal das Tool "swaks" ansehen. Damit kannst Du Dir die Parameter
> zum Austesten von SMTP-Verbindungen in eine Datei schreiben - das
> erspart Dir dann einiges an Getippe mit telnet.
> swaks beherrscht auch TLS/SSL und Authentifizierung.

Scheint auch nicht ganz uninteressant zu sein, werde ich mir auf jeden Fall
mal anschaun. Das gibts auch bei gentoo.

mfg
Christian

--
Your mouse has moved.
You must restart Windows for your changes to take effect.

Clemens Zauner

unread,
May 7, 2006, 6:15:48 PM5/7/06
to
Christian H. Kuhn <offi...@qno.de> wrote:
> Jetzt noch der Test, bei dem die server_advertise_condition nicht
> auskommentiert ist: klappt auch.

Sicher?

$ openssl s_client -connect 85.25.66.208:25 -starttls smtp
CONNECTED(00000003)
24992:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:
...

Christian H. Kuhn

unread,
May 8, 2006, 3:35:56 AM5/8/06
to
& dixit Clemens Zauner:

> Christian H. Kuhn <offi...@qno.de> wrote:
>> Jetzt noch der Test, bei dem die server_advertise_condition nicht
>> auskommentiert ist: klappt auch.
>
> Sicher?

Ja.



> $ openssl s_client -connect 85.25.66.208:25 -starttls smtp
> CONNECTED(00000003)
> 24992:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:

Mit KMail klappts jedenfalls.


--
Nach meiner Definition ist eine Software dann strategisch, wenn man
sonst keine Gründe für ihren Einsatz findet, sie aber unbedingt
einsetzen will.
Holger Marzen in dasr

Christian Schmidt

unread,
May 8, 2006, 4:20:28 AM5/8/06
to
Hallo Christian,

Christian H. Kuhn schrieb/wrote:

> & dixit Clemens Zauner:
>
>> Christian H. Kuhn <offi...@qno.de> wrote:
>>> Jetzt noch der Test, bei dem die server_advertise_condition nicht
>>> auskommentiert ist: klappt auch.
>>
>> Sicher?
>
> Ja.
>
>> $ openssl s_client -connect 85.25.66.208:25 -starttls smtp
>> CONNECTED(00000003)
>> 24992:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:
>
> Mit KMail klappts jedenfalls.

Ein Argument fuer die Verwendung von swaks (oder eben auch openssl)
ist, dass man direkt beobachten kann, wie der Server antwortet...

Christian H. Kuhn

unread,
May 8, 2006, 3:47:58 PM5/8/06
to
& dixit Christian Schmidt:

> Ein Argument fuer die Verwendung von swaks (oder eben auch openssl)
> ist, dass man direkt beobachten kann, wie der Server antwortet...

Ein Argument gegen swaks ist, dass es vollständig undokumentiert kommt.

--
Wer hundert Jahre lang Zwiebeln isst, erreicht ein hohes Alter.

Christian H. Kuhn

unread,
May 8, 2006, 4:01:25 PM5/8/06
to
Hallo Clemens,

& dixit Clemens Zauner:

> Christian H. Kuhn <offi...@qno.de> wrote:
>> Jetzt noch der Test, bei dem die server_advertise_condition nicht
>> auskommentiert ist: klappt auch.
>
> Sicher?
>
> $ openssl s_client -connect 85.25.66.208:25 -starttls smtp
> CONNECTED(00000003)
> 24992:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:

Nachdem ich meine geradezu körperliche Abneigung gegen undokumentierte
Software überwunden und in swaks, was sich als Perl-Script herausstellte,
hineingeschaut habe (und nachdem ich das erkannt habe, auch per perldoc die
Doku gefunden habe, was aber auch nur Zufall war, weil ich eigentlich mit
perl noch nie was wirkliches zu tun hatte; IMHO gehört sowas in eine
man-Page), konnte ich herausfinden, dass TLS wirklich benutzt wird:

multi ~ # swaks -tlso
To: postm...@qno.de
=== Trying mail3.qno.de:25...
=== Connected to mail3.qno.de.
<- 220 mail3.qno.de ESMTP Exim 4.50 Mon, 08 May 2006 21:57:34 +0200
-> EHLO localhost
<- 250-mail3.qno.de Hello p54aa2848.dip0.t-ipconnect.de [84.170.40.72]
<- 250-SIZE 52428800
<- 250-PIPELINING
<- 250-STARTTLS
<- 250 HELP
-> STARTTLS
<- 220 TLS go ahead
=== TLS started w/ cipher DHE-RSA-AES256-SHA
~> EHLO localhost
<~ 250-mail3.qno.de Hello p54aa2848.dip0.t-ipconnect.de [84.170.40.72]
<~ 250-SIZE 52428800
<~ 250-PIPELINING
<~ 250-AUTH PLAIN LOGIN
<~ 250 HELP
~> MAIL FROM:<root@localhost>
<~ 250 OK
~> RCPT TO:<postm...@qno.de>
<~ 250 Accepted
~> DATA
<~ 354 Enter message, ending with "." on a line by itself
~> Date: Mon, 08 May 2006 21:57:34 +0200
~> To: postm...@qno.de
~> From: root@localhost
~> Subject: test Mon, 08 May 2006 21:57:34 +0200
~> X-Mailer: swaks v20050709.1 jetmore.org/john/code/#swaks
~>
~> This is a test mailing
~>
~> .
<~ 250 OK id=1FdBrK-0005lz-TB
~> QUIT
<~ 221 mail3.qno.de closing connection
=== Connection closed by foreign host.

Keine Ahnung, was genau openssl da versucht. Ich bekomme bei einem Versuch
an postm...@85.25.66.208 einen 550, während an postm...@mail3.qno.de
die Adresse unrouteable ist und TLS nicht gestartet wird. Ich vermute, dass
openssl da irgendwo in den verschiedenen ACLs und conditions hängenbleibt.

Christian H. Kuhn

unread,
May 8, 2006, 4:03:16 PM5/8/06
to
& dixit Christian "Ingrid" Kuhn:

> & dixit Christian Schmidt:
>> Ein Argument fuer die Verwendung von swaks (oder eben auch openssl)
>> ist, dass man direkt beobachten kann, wie der Server antwortet...
>
> Ein Argument gegen swaks ist, dass es vollständig undokumentiert kommt.

bzw. dass man erstmal herausfinden muss, dass swaks perl ist und die Doku
per perldoc swaks zur Verfügung steht - ich hab in 8 Jahren Linux jetzt zum
erstenmal perldoc benutzt.

mfg
Christian

--
Das ist uebrigens nicht wahr und ganz gemein. Die
demoskopische Hauptzielgruppe von "Focus" sind Maenner
aus dem gehobenen Mittelstand zwischen 40 und 65
(IQ, nicht Alter). Andreas Kabel in d.e.s.d.

Sven Hartge

unread,
May 8, 2006, 5:48:00 PM5/8/06
to
Christian H. Kuhn <offi...@qno.de> wrote:
> & dixit Christian Schmidt:

>> Ein Argument fuer die Verwendung von swaks (oder eben auch openssl)
>> ist, dass man direkt beobachten kann, wie der Server antwortet...

> Ein Argument gegen swaks ist, dass es vollständig undokumentiert
> kommt.

?!

man swaks:

SWAKS(1) SWAKS SWAKS(1)

NAME
swaks - SMTP transaction tester

USAGE
swaks [--help|--version] | (see description of options below)

OPTIONS
[...]

--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/

Christian H. Kuhn

unread,
May 8, 2006, 6:08:09 PM5/8/06
to
& dixit Sven Hartge:

> man swaks:

Woher?

multi ~ # equery files swaks
[ Searching for packages matching swaks... ]
* Contents of net-mail/swaks-20050709.1:
/usr
/usr/bin
/usr/bin/swaks
multi ~ #


--
"The PROPER way to handle HTML postings is to cancel the article, then
hire a hitman to kill the poster, his wife and kids, and fuck his dog
and smash his computer into little bits. Anything more is just
extremism." -- Paul Tomblin

Sven Hartge

unread,
May 8, 2006, 6:41:49 PM5/8/06
to
Christian H. Kuhn <offi...@qno.de> wrote:
> & dixit Sven Hartge:

>> man swaks:

> Woher?

Debian. Scheinbar wurde dort per Default die perldoc-Doku als manpage
bereitgestellt.

Marc Haber

unread,
May 9, 2006, 5:40:08 AM5/9/06
to
"Christian H. Kuhn" <offi...@qno.de> wrote:
>(und nachdem ich das erkannt habe, auch per perldoc die
>Doku gefunden habe, was aber auch nur Zufall war, weil ich eigentlich mit
>perl noch nie was wirkliches zu tun hatte; IMHO gehört sowas in eine
>man-Page),

Das gehört in eine Manpage und steht in einer Manpage. Wenn man ein
vernünftiges OS benutzt, bei dem sich die Packagemaintainer für fünf
Cent für ihre User interessieren.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Christian H. Kuhn

unread,
May 9, 2006, 11:33:04 AM5/9/06
to
& dixit Sven Hartge:

> Christian H. Kuhn <offi...@qno.de> wrote:
>> & dixit Sven Hartge:
>>> man swaks:
>> Woher?
> Debian. Scheinbar wurde dort per Default die perldoc-Doku als manpage
> bereitgestellt.

Dann muss ich mich in ner ruhigen Mußestunde mal damit herumschlagen, wo bei
gentoo patches für ebuilds hingehören. Und wie man mans aus perldocs macht.

mfg
Christian

--
Wise men don't need advice. Fools don't take it.
- Benjamin Franklin -

Clemens Zauner

unread,
May 9, 2006, 6:04:33 PM5/9/06
to
Christian H. Kuhn <offi...@qno.de> wrote:
> Und wie man mans aus perldocs macht.

pod2man. Aber jetzt wirds OT.

Uwe Sinha

unread,
May 10, 2006, 5:20:01 AM5/10/06
to
Christian H. Kuhn <offi...@qno.de> schrieb:

[...]


> Dann muss ich mich in ner ruhigen Mußestunde mal damit herumschlagen, wo bei
> gentoo patches für ebuilds hingehören.

[...]

http(s)://bugs.gentoo.org/

HTH & Flup2poster, Uwe
--
"Wenn jeder sinnlose Vorschlag ein Aprilscherz wäre, wären
wir weiter." -- Andreas Höfeld in de.admin.news.groups

Christian Schmidt

unread,
May 11, 2006, 12:47:16 PM5/11/06
to
Hallo Christian,

Christian H. Kuhn schrieb/wrote:

> & dixit Christian Schmidt:


>> Ein Argument fuer die Verwendung von swaks (oder eben auch openssl)
>> ist, dass man direkt beobachten kann, wie der Server antwortet...
>
> Ein Argument gegen swaks ist, dass es vollständig undokumentiert kommt.

Du hast doch ein Debian-System, oder?
"apt-get install swaks" hat mir hier zumindest auch eine Manual Page
aufs System gespuelt...

Christian Schmidt

unread,
May 11, 2006, 12:52:21 PM5/11/06
to
Hallo Christian,

Christian H. Kuhn schrieb/wrote:

> man-Page), konnte ich herausfinden, dass TLS wirklich benutzt wird:


>
> multi ~ # swaks -tlso
> To: postm...@qno.de
>=== Trying mail3.qno.de:25...
>=== Connected to mail3.qno.de.
><- 220 mail3.qno.de ESMTP Exim 4.50 Mon, 08 May 2006 21:57:34 +0200
> -> EHLO localhost
><- 250-mail3.qno.de Hello p54aa2848.dip0.t-ipconnect.de [84.170.40.72]
><- 250-SIZE 52428800
><- 250-PIPELINING
><- 250-STARTTLS
><- 250 HELP
> -> STARTTLS
><- 220 TLS go ahead
>=== TLS started w/ cipher DHE-RSA-AES256-SHA

Yep.
Dazu sollte exim auch etwas in seine Logs schreiben...

[..]


> Keine Ahnung, was genau openssl da versucht.

"Da" ist eigentlich nur exim beteiligt...

> Ich bekomme bei einem Versuch
> an postm...@85.25.66.208 einen 550, während an postm...@mail3.qno.de
> die Adresse unrouteable ist und TLS nicht gestartet wird.

Moment, Moment!
Wann und wo gibst Du die Adressen an?
Was sagt Dir exim bei folgenden Aufrufen?
exim -bt postm...@85.25.66.208
exim -bt postm...@mail3.qno.de

Was hast Du an "local_domains" definiert?

> Ich vermute, dass
> openssl da irgendwo in den verschiedenen ACLs und conditions hängenbleibt.

Aehmm, OpenSSL macht da eigentlich gar nichts...

Heiko Schlichting

unread,
May 11, 2006, 5:31:26 PM5/11/06
to
Christian H. Kuhn <offi...@qno.de> wrote:
> & dixit Christian Schmidt:
>> Ein Argument fuer die Verwendung von swaks (oder eben auch openssl)
>> ist, dass man direkt beobachten kann, wie der Server antwortet...
>
> Ein Argument gegen swaks ist, dass es vollständig undokumentiert kommt.

Bei mir liefert "swaks --help" eine wirklich längliche Dokumentation. Das
passiert auch schon bei älteren Versionen, obwohl ich üblicherweise die
neuste von folgender Webseite einsetze:

http://www.jetmore.org/john/code/swaks

Heiko

Jakob Hirsch

unread,
May 13, 2006, 6:25:43 PM5/13/06
to
Quoting Clemens Zauner:

> $ openssl s_client -connect 85.25.66.208:25 -starttls smtp
> CONNECTED(00000003)
> 24992:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:

Welche openssl-Version? Vor 0.9.7f und ab 0.9.8 sendet openssl kein EHLO
vor dem STARTTLS, das mag Exim nicht.

Jakob Hirsch

unread,
May 14, 2006, 5:32:59 AM5/14/06
to
Quoting Christian H. Kuhn:

> an postm...@85.25.66.208 einen 550,

Das müßte auch postmaster@[a.b.c.d] heißen. Dafür mmüßtest du aber
allow_domain_literals aktivieren und @[] in local_domains haben. Diese
Form der Adressierung ist aber tendentiell eher unnötig.

> während an postm...@mail3.qno.de
> die Adresse unrouteable ist und TLS nicht gestartet wird. Ich vermute, dass
> openssl da irgendwo in den verschiedenen ACLs und conditions hängenbleibt.

Hm? STARTLS kommt lange vor RCPT TO.

Christian H. Kuhn

unread,
May 15, 2006, 1:34:10 PM5/15/06
to
& dixit Christian Schmidt:

> Du hast doch ein Debian-System, oder?

Zuhause nicht. Nur auf den Servern. Und swaks verwende ich halt nicht auf
den Servern.

Aber ich hab perldoc gefunden.

--
When I die, I want to die like my Grandmother who died peacefully
in her sleep. Not screaming like all the passengers in her car.

Christian H. Kuhn

unread,
May 15, 2006, 1:43:18 PM5/15/06
to
& dixit Christian Schmidt:
> Christian H. Kuhn schrieb/wrote:

>>=== TLS started w/ cipher DHE-RSA-AES256-SHA
> Dazu sollte exim auch etwas in seine Logs schreiben...

Genau.

>> Ich bekomme bei einem Versuch
>> an postm...@85.25.66.208 einen 550, während an postm...@mail3.qno.de
>> die Adresse unrouteable ist und TLS nicht gestartet wird.
>
> Moment, Moment!
> Wann und wo gibst Du die Adressen an?

Ich starte swaks mit swaks -tlso. Dann wird nach To: gefragt.

> Was sagt Dir exim bei folgenden Aufrufen?
> exim -bt postm...@85.25.66.208

mail3 ~ # exim4 -bt postm...@85.25.66.208
R: mailman_router for postm...@85.25.66.208
R: dnslookup for postm...@85.25.66.208
LOG: MAIN
remote host address is the local host: 85.25.66.208 (while routing
<postm...@85.25.66.208>)
postm...@85.25.66.208 cannot be resolved at this time:
remote host address is the local host

> exim -bt postm...@mail3.qno.de

mail3 ~ # exim4 -bt postm...@mail3.qno.de
R: mailman_router for postm...@mail3.qno.de
postm...@mail3.qno.de is undeliverable:
Unrouteable address

> Was hast Du an "local_domains" definiert?

mail3.qno.de:qno.de:ufra-schach-jugend.de:schach1.de:latex-font-portal.de:jwdesign.biz
:schach-prichsenstadt.de

>> Ich vermute, dass
>> openssl da irgendwo in den verschiedenen ACLs und conditions
>> hängenbleibt.
> Aehmm, OpenSSL macht da eigentlich gar nichts...

Auch gut. Ich hab keine Ahnung, was openssl da versucht. Jedenfalls hats der
Vorposter, der damit Probleme hatte, mit einer Adresse versucht, an die
bitte keine Mail zu gehen hat. Daher schliesse ich von den Problemen nicht
auf welche im normalen Betrieb.

mfg
Christian

--
Dazu paßt auch der Trend weg von der Kommandozeile: Dem Computer
*Kommandos* erteilen - nein, das geht nun wirklich nicht. Nein, *wir*
haben gefälligst *seine* Fragen zu beantworten und *seine* Meldungen
zu bestätigen... (Christopher Eltschka in ger.ct)

Christian Schmidt

unread,
May 18, 2006, 10:34:14 AM5/18/06
to
Hallo Christian,

Christian H. Kuhn schrieb/wrote:

> & dixit Christian Schmidt:


>> Christian H. Kuhn schrieb/wrote:
>>>=== TLS started w/ cipher DHE-RSA-AES256-SHA
>> Dazu sollte exim auch etwas in seine Logs schreiben...
>
> Genau.
>
>>> Ich bekomme bei einem Versuch
>>> an postm...@85.25.66.208 einen 550, während an postm...@mail3.qno.de
>>> die Adresse unrouteable ist und TLS nicht gestartet wird.
>>
>> Moment, Moment!
>> Wann und wo gibst Du die Adressen an?
>
> Ich starte swaks mit swaks -tlso. Dann wird nach To: gefragt.

Kleiner Tip am Rande: Erstelle Dir eine Datei mit den entsprechenden
Eintraegen und benutze dann nur noch "swaks -l <datei>". Spart viel
Tipperei.

>> Was sagt Dir exim bei folgenden Aufrufen?
>> exim -bt postm...@85.25.66.208
>
> mail3 ~ # exim4 -bt postm...@85.25.66.208
> R: mailman_router for postm...@85.25.66.208
> R: dnslookup for postm...@85.25.66.208
> LOG: MAIN
> remote host address is the local host: 85.25.66.208 (while routing
><postm...@85.25.66.208>)
> postm...@85.25.66.208 cannot be resolved at this time:
> remote host address is the local host

Weiss Dein exim, dass er 85.25.66.208 als lokale Domain betrachten
soll? Ist "allow_domain_literals" auf YES gesetzt?

><postmaster@


>> exim -bt postm...@mail3.qno.de
>
> mail3 ~ # exim4 -bt postm...@mail3.qno.de
> R: mailman_router for postm...@mail3.qno.de
> postm...@mail3.qno.de is undeliverable:
> Unrouteable address

Mich wundert auch, dass da jeweils erst ein mailman-Router ausprobiert
wird... Vielleicht solltest Du mal einen Blick auf die Reihenfolge
Deiner Router werfen...

Hast Du einen Alias fuer postmaster in /etc/aliases definiert?

>> Was hast Du an "local_domains" definiert?
>
> mail3.qno.de:qno.de:ufra-schach-jugend.de:schach1.de:latex-font-portal.de:jwdesign.biz
>:schach-prichsenstadt.de
>
>>> Ich vermute, dass
>>> openssl da irgendwo in den verschiedenen ACLs und conditions
>>> hängenbleibt.
>> Aehmm, OpenSSL macht da eigentlich gar nichts...
>
> Auch gut. Ich hab keine Ahnung, was openssl da versucht.

IMO gar nichts: Ein TLS-faehiges exim-Binary ist lediglich gegen die
libcrypto/libssl gelinkt und nutzt deren Faehigkeiten, um eben TLS
machen zu koennen...

Christian H. Kuhn

unread,
May 18, 2006, 1:25:54 PM5/18/06
to
Hallo Christian,

& dixit Christian Schmidt:


> Weiss Dein exim, dass er 85.25.66.208 als lokale Domain betrachten
> soll? Ist "allow_domain_literals" auf YES gesetzt?

Letzteres ausdrücklich nein. Und das ist gut so.

> Mich wundert auch, dass da jeweils erst ein mailman-Router ausprobiert
> wird... Vielleicht solltest Du mal einen Blick auf die Reihenfolge
> Deiner Router werfen...

Ups. Nunja. Da Mailman auf der Kiste nicht zum Laufen zu bewegen ist - ein
dreifach donnerndes Hoch oder so auf Virtuozzo - war der Mailman-Router nur
zum Test drin und fliegt demnächst wieder.

> Hast Du einen Alias fuer postmaster in /etc/aliases definiert?

Ja.

>> Auch gut. Ich hab keine Ahnung, was openssl da versucht.
>
> IMO gar nichts: Ein TLS-faehiges exim-Binary ist lediglich gegen die
> libcrypto/libssl gelinkt und nutzt deren Faehigkeiten, um eben TLS
> machen zu koennen...

Mißverständnis. Es ging um ein openssl auf einem anderen Rechner. Ein
Vorposter hatte damit meinen exim zu testen versucht. Mein lokales openssl
hat damit natürlich nix zu tun.

mfg
Christian

jj...@pobox.com

unread,
Jun 5, 2006, 11:13:13 PM6/5/06
to

Christian H. Kuhn wrote:
>
> bzw. dass man erstmal herausfinden muss, dass swaks perl ist und die Doku
> per perldoc swaks zur Verfügung steht - ich hab in 8 Jahren Linux jetzt zum
> erstenmal perldoc benutzt.

Welche Unterlagen würden Sie erwarten, zu finden? Das perldoc gab (das
leicht ist und offensichtlich über fand --help Wahl) in einer Akte auf
der Web site mit dem Perlscript aus? Ich bin immer zu den Vorschlägen
für das Maing Sachen easier/better geöffnet.

Traurig für die babelfish Übersetzung / sorry for the babelfish
translation

--John

0 new messages