Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,

ja!

postfix/smtpd[17610]: warning: cannot get RSA private key from file /etc/ssl/postfix/mailserver.pem: disabling TLS support

postfix/smtpd[17610]: warning: TLS library problem: 17610:error:0906406D:PEM routines:PEM_def_callback:problems getting password:pem_lib.c:111:

Er hat ein Passwortproblem. Ist der Schlüssel passwortgeschützt?

Ja, schrieb ich ja. Der Apache kommt damit klar. Man wird beim Starten des Dienstes nach dem Key² gefragt, bzw. kann ihn auch in die Virtual-Host-Datei eintragen. Da wird man ihn sicherlich auch dazuladen lassen können.

Es ist mir ohnehin noch nicht klar, wie das bei Postfix funtkionieren soll. Der Apache benötigt drei Angaben: Cert, Private-Key und Passphrase für den Key.

Bei Postfix kann ich überhaupt keine Passphrase angeben.

Weil Postfix keine passwortgeschützten Schlüssel unterstützt.

Das hatte ich befürchtet.
Ich ahbe jetzt erst einmal die Snake-oil-Keys benutzt. Ist zwar nicht schön, aber zum Ausprobieren reicht es erstmal. Bei StartSSL bekommt man für dieselbe Domain nur ein Zertifikat und der Key dafür muss imho immer mit Key versehen werden.

Der Nutzen eines Passwortes ist reichlich fragwürdig, wenn das Passwort zusammen mit dem Schlüssel gespeichert wird. Irrsinnig wird es, wenn einerseits der Zugriff auf die Schlüsseldatei auf root beschränkt wird (Postfix: werden muss), das Passwort aber in einer Datei landet (Postfix: landen würde), die üblicherweise von jedermann lesbar ist (wie bei der Postfix-Konfiguration eigentlich der Fall).

Naja, ich habe das alles in einem Verzeichnis, das nur vom Postfix-User (und natürlich) Root lesbar ist. Der Dateiname der Keys scheint ja keine Relevanz zu haben, sodass man noch sehen kann, welcher welcher ist...

Wie wäre es mal mit der Postfix-Anleitung, Kapitel TLS, Abschnitt Server-side certificate and private key configuration?

Jein. Ich werde das noch alles lesen und durchschauen müssen, wenn es an die Mail-Response-Software geht. Die Mails sollen auch in einer Datenbank, und nicht mehr in einem Verzeichnis auf der Platte gespeichert werden.

Ich habe auch noch ein nettes Buch dafür. Aber leider stehen die Fehlermeldungen da nirgendwo. Daher die Suche nach den Tutorials/Manuals im Web. Außerdem ging es auch um das Gesamtpaket. Das steht im Postfix-Manual auch nicht alles drin.

Jetzt funktioniert der der SMTP-Zugriff, leider nur über Port 25. Ich kann auch nicht erkennen, ob verschlüsselt übertragen wird, oder nicht.

  
postfix/smtpd[27582]: connect from pxxxxxxxx.dip0.t-ipconnect.de[zzz.zzz.zzz.zzz]  
  
dovecot: auth-worker(27584): mysql(127.0.0.1): Connected to database postfixadmin  
  
postfix/smtpd[27582]: C4522191E83C: client=pxxxxxxxx.dip0.t-ipconnect.de[zzz.zzz.zzz.zzz], sasl_method=PLAIN, sasl_username=robertroth@example.org  
  
postfix/cleanup[27588]: C4522191E83C: message-id=<mr3svbav6cntxgbc56kc91e8.1421685884174@email.android.com>  
  
postfix/qmgr[27271]: C4522191E83C: from=<robertroth@example.org>, size=34280, nrcpt=1 (queue active)  
  
postfix/smtp[27589]: C4522191E83C: to=<robertroth@online.de>, relay=mx01.emig.kundenserver.de[212.227.17.160]:25, delay=0.87, delays=0.39/0.02/0.33/0.13, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0MZyKF-1YRtmZ27Y7-00LpRq)  
  

Bei IMAP steht in der Log-Zeile zumindest TLS:

  
dovecot: imap-login: Login: user=<robertroth@example.org>, method=PLAIN, rip=xxx.xxx.xxx.xxx, lip=yyy.yyy.yyy.yyy, mpid=27629, TLS, session=<fd+7CwQNTQBQjHut>  
  

Ich habe irgendwo gelesen, dass das jetzt grundsätzlich nur noch über Port 25 laufen würde (egal, ob verschlüsselt oder nicht), weiß jetzt aber leider nicht mehr, wo. Kann sein, dass das in irgendeiner Readme direkt von Postfix stand.

Zufrieden bin ich also noch nicht. Es sind noch zuviele Fragen offen. Aber eigentlich soll ich morgen Erfolg vermelden :-O

Spirituelle Grüße
Euer Robert