Hallo Gruppe,

ich bitte um Links zu step-by-step Anleitungen für openssl und stunnel.

stunnel brauche ich ausschließlich im client-mode, damit leafnode und
postfix mit entsprechenden Servern kommunizieren können.
Bisher habe ich da irgendwie eine Denkblockade.

Danke,
Schultze

--
Menschen, die sich auf ihren Lorbeeren ausruhen, tragen sie am falschen
Ende.
Malcolm Kushner

Michael Schütz <der.schultze*web.de>:
> Hallo Gruppe,
>
> ich bitte um Links zu step-by-step Anleitungen für openssl und stunnel.
>
> stunnel brauche ich ausschließlich im client-mode, damit leafnode und
> postfix mit entsprechenden Servern kommunizieren können.

Postfix kann von sich aus sowohl TLS als auch STARTTLS.

> Bisher habe ich da irgendwie eine Denkblockade.

Zu leafnode kann ich dir nichts sagen, aber Postfix und TLS ist
wohl dokumentiert.

Juergen P. Meier <nospam-1984*jors.net> schrieb:
>
> Postfix kann von sich aus sowohl TLS als auch STARTTLS.
>
Danke, das weiß ich mittlerweile auch schon.

>> Bisher habe ich da irgendwie eine Denkblockade.
>
> Zu leafnode kann ich dir nichts sagen, aber Postfix und TLS ist
> wohl dokumentiert.

TLS und SSL ist aber nicht das Gleiche. Der Server, welcher angesprochen
werden soll, nimmt nur SSL-Verbindungen an.

Schultze

--
Wenn ein wirklich großer Geist in der Welt erscheint, kann man ihn
untrüglich daran erkennen, dass sich alle Dummköpfe gegen ihn verbünden.
Jonathan Swift

* Dirk Thierbach <dthierbach*usenet.arcornews.de> schrieb:

> Michael Schütz <der.schultze*web.de> wrote:
>> Wenn ich das analog für postfix versuche, bekomme ich keine Übertragung hin.

Mit einer derartig ungenauen Problembeschreibung kann niemand etwas
anfangen. :-(

>> smtps stream tcp nowait root /usr/bin/stunnel stunnel -c -r smtp.mensa.de:smtps
>
> Postfix weiss ich nicht,

<http://www.postfix.org/TLS_README.html#client_smtps>

Gruß, Heiko

Dirk Thierbach <dthierbach*usenet.arcornews.de> schrieb:
>
> Irgendwie wird auch auf Deinem System leafnode aufgerufen, um aktuelle
> News zu holen. Die Stelle finden, da drum herum den Tunnel auf- und wieder
> abbauen.
>
Hm, der leafnode läuft als daemon und startet alle 5 Minuten fetchnews,
welches ein Teil von leafnode ist.

>
> Postfix weiss ich nicht, aber auch hier wuerde ich erstmal den Tunnel
> zu Fuss aufbauen, und testen, ob es prinzipiell ueberhaupt klappt.
> Und einen anderen Port nehmen.
>
Das könnte ich mal probieren. In der Tat.

>> Leider nein, aber trotzdem Danke.
>
> Aber Du hast doch gerade geschrieben, dass Du es mit leafnode hinbekommen
> hast? Dann muss die Blockade doch weg sein, aus welchen Gruenden auch
> immer :-)
>
Sorry, war missverständlich. Das mit leafnode habe ich vor zwei Jahren
hingebastelt. Mit viel Hilfe hier aus der Gruppe. Deshalb habe ich
versucht, analog bei postfix vorzugehen, was aber nicht funktioniert.

Ich denek, dass ich den stunnel erst richtig konfigurieren muss und dann
sollte es auch klappen.

> - Dirk

Schultze

--
Gibt es eigentlich ein anderes Wort für "Synonym"?

Heiko Schlenker <hschlen*gmx.de> schrieb:
>
> <http://www.postfix.org/TLS_README.html#client_smtps>
>
Heiko, wenn es so einfach wäre, hätte ich hier nicht gefragt.

Das dort beschriebene funktioniert nicht. Deshalb will ich mal
step-by-step den stunnel kunfigurieren. Ich verstehe nämlich nicht,
warum es nicht geht.

> Gruß, Heiko

Schultze

--
42 oder: Die Pyramide von Genf
So könnte auch der LHC der letzte Teilchenbeschleuniger dieser Größe
sein, weil die Wissenschaft sich auf ganz neue Territorien begibt.
Es sei denn, er spuckt "42" aus. Dann sollten wir uns ernsthaft Gedanken
machen – und Douglas Adams posthum noch für den Nobelpreis vorschlagen.
Niels Boeing

* Michael Schütz <der.schultze*web.de> schrieb:

> Heiko Schlenker <hschlen*gmx.de> schrieb:
>>
>> <http://www.postfix.org/TLS_README.html#client_smtps>
>>
> Heiko, wenn es so einfach wäre, hätte ich hier nicht gefragt.
>
> Das dort beschriebene funktioniert nicht.

Was funktioniert denn nicht? Die Kommunikation postfix <-> stunnel
oder stunnel <-> mensa.de?

Du verwendest offenbar Debian. Hast Du daran gedacht,
/etc/default/stunnel4 anzupassen?

Gruß, Heiko

Heiko Schlenker <hschlen*gmx.de> schrieb:
> * Michael Schütz <der.schultze*web.de> schrieb:
>
> Was funktioniert denn nicht? Die Kommunikation postfix <-> stunnel
> oder stunnel <-> mensa.de?
>
stunnel selbst. /etc/init.d/stunnel4 force-reload
Restarting SSL tunnels: [Failed: /etc/stunnel/stunnel.conf]
You should check that you have specified the pid= in you configuration file

pid ist gesetzt, default. Der user stunnel4 ist owner des
Verzeichnisses. Woher der Fehler kommt, ist nicht nachvollziehbar.

Dann versucht üner inetd mit

smtps stream tcp nowait root /usr/bin/stunnel stunnel -c -r smtp.mensa.de:smtps

Damit kriege ich die Mail dann aber nicht abgeliefert. Auszug aus
/var/log/mail.info:

Nov 3 17:33:08 talisker postfix/smtp[3629]: connecting to mensa.de port 25
....
Nov 3 17:33:08 talisker postfix/smtp[3629]: smtp_connect_addr: trying: mensa.de[81.169.162.14] port 25...

Auf port 25 nimmt der Server dann die Mail nicht an, was ja richtig ist.

#telnet localhost smtps
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mensa.de ESMTP
EHLO localhost
250-mensa.de
250-PIPELINING
250-8BITMIME
250 AUTH LOGIN PLAIN

In sender_relay ist aber explizit [localhost]:smtps angegeben.

> Du verwendest offenbar Debian. Hast Du daran gedacht,
> /etc/default/stunnel4 anzupassen?
>
Ja....

> Gruß, Heiko

Schultze

--
Ich finde die Zivilisation ist eine gute Idee. Nur solle endlich mal
jemand anfangen, sie auszuprobieren.
Arthur C. Clarke

Michael Schütz <der.schultze*web.de>:
> Juergen P. Meier <nospam-1984*jors.net> schrieb:
>>
>> Postfix kann von sich aus sowohl TLS als auch STARTTLS.
>>
> Danke, das weiß ich mittlerweile auch schon.
>
>>> Bisher habe ich da irgendwie eine Denkblockade.
>>
>> Zu leafnode kann ich dir nichts sagen, aber Postfix und TLS ist
>> wohl dokumentiert.
>
> TLS und SSL ist aber nicht das Gleiche. Der Server, welcher angesprochen

Nicht das selbe, aber das gleiche.

> werden soll, nimmt nur SSL-Verbindungen an.

TLS kann normalerweise fallback auf die aeltere Protokollversion SSL.

* Michael Schütz <der.schultze*web.de> schrieb:

> Heiko Schlenker <hschlen*gmx.de> schrieb:
>> * Michael Schütz <der.schultze*web.de> schrieb:
>>
>> Was funktioniert denn nicht? Die Kommunikation postfix <-> stunnel
>> oder stunnel <-> mensa.de?
>>
> stunnel selbst. /etc/init.d/stunnel4 force-reload
> Restarting SSL tunnels: [Failed: /etc/stunnel/stunnel.conf]
> You should check that you have specified the pid= in you configuration file

Die Fehlermeldung ist missverständlich. Dein in
<news:vgr5s6-qm4.ln1*talisker.whiskykult.de> geschilderter Test
startet stunnel im Server-Modus. Das kann aber nur dann
funktionieren, wenn Du vorab ein Zertifikat für stunnel erzeugt
hast. Siehe auch Posting: <news:slrnhf0mqh.j09.hschlen*humbert.ddns.org>

> Dann versucht üner inetd mit
>
> smtps stream tcp nowait root /usr/bin/stunnel stunnel -c -r smtp.mensa.de:smtps

Das ist eher unsauber. Stunnel sollte im Client-Modus an keinem
reservierten Port wie 465 (smtps) (siehe /etc/services) lauschen.

> Damit kriege ich die Mail dann aber nicht abgeliefert. Auszug aus
> /var/log/mail.info:
>
> Nov 3 17:33:08 talisker postfix/smtp[3629]: connecting to mensa.de port 25

Postfix scheint gar nicht mit Deinem stunnel zu reden. Stunnel hat
vermutlich auch keine Verbindung im Syslog-Protokoll verzeichnet,
oder?

> In sender_relay ist aber explizit [localhost]:smtps angegeben.

Hm, daran gedacht, postmap und /etc/init.d/postfix reload
auszuführen? Und hat der betreffende Absender überhaupt die E-Mail
abgeschickt oder war es ein anderer, der gar nicht in sender_relay
steht?

Führe zwischendurch auch mal "postfix check" aus und schaue
anschließend nach Warnhinweisen im Syslog-Protokoll.

Gruß, Heiko