Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

TLS Mailing mit Donino 8.5.3

(1/2) > >>

jammesbond007:
Hallo,

ich kämpfe schon seit Tagen damit um mit einem 853er Server eine TLS/SSL Verschlüsselung zu einem anderen externen SMTP Gateway aufzubauen.

Dazu habe ich beim ausgehenden SMTP Server (Domino 853) einen Key Ring erstellt:

Name: xxxxxxxxxx.kyr
Key Size: 2048
common name: xxx.xxxxx.com
Organisation: xxx

Der Common Name ist der FQDN Name des Servers wie er im Serverdoc steht!

Danach habe ich einen CSR erstellt und den an VeriSign geschickt, ihre Intermediate Certs in den Key Ring importiert und das von VeriSign bestellte Zertifikat in den KeyRing installiert. Domino-seitig  bei den Internetports/Mail Negotiated SSL Enabled
Dann noch die beiden Dateien ins Domino-Data kopieren und ein erster Test sollte folgen

Doch wenn ich jetzt eine TLS Verbindung vom SMTP Server (Port 25 und 465 sind outgoing offen) zu einem anderen aufbauen will bekomme ich:

[1394:0013-0898] SMTPClient: SSL handshake error: 1C7Bh
Router: No messages transferred to xxx.COM (host xxxxxx.COM) via SMTP: SSL bad peer certificate. Connection refused.


Ok, dann stelle ich eben wieder um auf nur SMTP, kein Negotiated mehr.......habe ich mir gedacht.

Nachdem ich alles wieder rückgängig gemacht habe, nimmt die Gegenseite trotzdem Mails von mir nur mittels TLS an. Es scheint so als ob der den Reverse DNS Namen von meinem Mailserver überprüft und dann nachschaut, gibt es ein SSL Zertifikat bei einem Anbieter. Wenn ja, akzeptiere ich nur TLS Mails von diesem Absender

Das komische ist nur, dass die Gegenseite nicht wieder auf SMTP zurückspringt wenn kein TLS zustande kommt. Somit kann ich keine Mails an diese Domain senden!


Habt Ihr ähnliche Probleme gehabt bei Euren Servern oder bin ich da ein Einzelfall?


Danke, James

wrangel:
Hast du mal von Hand versucht mit dem Server zu sprechen? Was macht der denn bei einer normalen Verbindung von deinem Server per telnet auf den Mailport?

m3:
http://atnotes.de/index.php?topic=54665.0

m3:
http://www.symantec.com/business/support/index?page=content&pmv=print&impressions=&viewlocale=&id=TECH123701

stoeps:
Hi,

meiner Meinung nach der falsche Ansatz. Port 465 ist ein Client SSL Port und hier nicht notwendig!

Eigentlich reicht im Config Document: Router/SMTP - Advanced - Commands and Extensions den Punkt SSL negotiated over TCP/IP zu aktivieren.

Dann sollte es eigentlich schon gehen.

Die Vermutung mit DNS halte ich für falsch, das macht niemand, es gibt auch keine Suche über alle Provider ob ein Server ein SSL Zertifikat hat. Wäre ja auch Wahnsinn, denk mal an gemischt Mail-/Webserver wenn man da den https aktiviert, würden nur noch tls Mails angenommen?

Ich tippe auf ein caching Problem. Hast du nach der Änderung den Server durchgestartet?

Navigation

[0] Themen-Index

[#] Nächste Seite