N'Abend $LISTE, ich habe vorgestern meinen Root-Server von Woody auf Sarge upgedated. Verlief soweit alles gut (n paar Configs von Hand editieren, und das wars schon). Ein einziges Problem habe ich noch. Ich habe die Courier-Suite bei mir drauf, sprich sowohl ein- als auch ausgehende Mails werden von Courier verwaltet. Die eingehenden Mails kommen auch tadellos an und werden richtig per maildrop einsortiert. Bei den ausgehenden ist das ein bisschen komplizierter. Die erste Testmail von mir wurde freundlich mit <<< 500 couriertls: connect: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed an mich zurückgesandt. Höhst unpraktisch ;-) Aber man ist ja nicht doof, $SUCHMACHINE mal nach 'couriertls "certificate verify failed"' befragt. Kam n Thread von der courier- users ML bei raus, wo stand man solle doch bitte in der config TLS_VERIFYPEER=PEER in TLS_VERIFYPEER=NONE ändern. Gesagt, getan. Beim Ändern ist mir aufgefallen dass TLS_TRUSTCERTS nicht auf das courier- rootcerts Verzeichniss zeigt - also mitgeändert. *trommelwirbel* Das Ergebnis war folgendes: Mails werden nun zugestellt (kommen sogar an *g*), aber eben nur wenn TLS_VERIFYPEER=NONE ist. Empfohlen ist PEER. Wenn ich das richtig verstehe, überprüft er nun nicht mehr, ob das "vorgezeigte" Zertifikat echt ist, sondern nimmt jedes an. Rein theoretisch würde dies Man-in-the-Middle Attaken ermöglichen. Jetzt also die Frage: soll ich das einfach lassen (Problem eher unkritisch) oder kann mir einer einen tollen Tip geben, wie ich es mit 'PEER' zum laufen bekomme? So, sorry für die lange Mail, aber bei irgendwem musste ich mich ja ausheulen ;-) Gruß, Evgeni -- ^^^ | Evgeni -SargentD- Golov (sargentd@die-welt.net) d(O_o)b | PGP-Key-ID: 0xAC15B50C >-|-< | WWW: www.die-welt.net ICQ: 54116744 / \ | IRC: #sod @ irc.german-freakz.net
Attachment:
pgpo8CKeDWiXW.pgp
Description: PGP signature