通过 LMTP 在 Postfix 和 Dovecot 之间启用 TLS 的正确设置是什么?

通过 LMTP 在 Postfix 和 Dovecot 之间启用 TLS 的正确设置是什么?

我正在尝试让 Postfix 通过 LMTP 将邮件转发到 Dovecot。当双方的设置中都关闭 TLS 时,此方法可正常工作。

一旦启用 TLS 设置,Postfix 通过 LMTP 连接,并且 Dovecot 看到该连接,但两个服务器似乎都卡在那里,日志中没有更多信息(下面的日志)。

要使其正常工作,正确的 TLS 设置是什么?

这些是当前设置的两个服务器的配置文件的相关部分:

/etc/dovecot/dovecot.conf

protocols = imap lmtp

# Enable SSL (global) for IMAP connections
ssl = required
ssl_cert = </etc/ssl/imap.domain.com/imap.domain.com.crt
ssl_key = </etc/ssl/imap.domain.com/imap.domain.com.key


protocol lmtp {
    ssl_cert = </etc/ssl/imap.domain.com/imap.domain.com.crt
    ssl_key = </etc/ssl/imap.domain.com/imap.domain.com.key
    ssl_ca = </etc/ssl/imap.domain.com/authority.crt
    ssl_verify_client_cert = yes
    auth_ssl_require_client_cert = yes
    ssl=required
}


service lmtp {
  user = vmail
  inet_listener lmtp {
    address = * ::
    port = 24
    ssl=yes
  }
}

/etc/postfix/main.cf

lmtp_use_tls = yes
lmtp_tls_security_level=encrypt
lmtp_tls_loglevel = 2
lmtp_tls_session_cache_database = btree:${data_directory}/lmtp_cache    
lmtp_tls_CApath = /etc/ssl/certs
lmtp_tls_CAfile=/etc/ssl/domain.com/authority.crt
lmtp_tls_cert_file=/etc/ssl/domain.com/domain.com.client.crt
lmtp_tls_key_file=/etc/ssl/domain.com/domain.com.key    
lmtp_tls_note_starttls_offer = yes

Dovecot 服务器的邮件日志:

lmtp(1939): Info: Connect from xx.xx.xx.xx
lmtp(2500): Debug: SSL: where=0x10, ret=1: before SSL initialization
lmtp(2500): Debug: SSL: where=0x2001, ret=1: before SSL initialization
lmtp(2500): Debug: SSL: where=0x2002, ret=-1: before SSL initialization
lmtp(2500): Debug: SSL: where=0x2002, ret=-1: before SSL initialization
lmtp(2500): Debug: SSL: where=0x2002, ret=-1: before SSL initialization
lmtp(1944): Info: Disconnect from xx.xx.xx.xx: Disconnected for inactivity (state=GREETING)

Postfix 服务器的邮件日志:

Nov  1 22:35:18 servername postfix/lmtp[65067]: initializing the client-side TLS engine
Nov  1 22:35:18 servername postfix/lmtp[65050]: 9935F2317D: to=<[email protected]>, relay=remote.server.com[yy.yy.yy.yy]:24, delay=1220, delays=920/0.02/300/0, dsn=4.4.2, status=deferred (lost connection with remote.server.com[yy.yy.yy.yy] while receiving the initial server greeting)

更新

如果我运行:

openssl s_client -connect domain.com:24 -CAfile /etc/ssl/domain.com/authority.crt

在 Postfix 机器上,它通过 LMTP 通过 TLS 连接到 Dovecot 服务器,我可以向 Dovecot 发出 telnet 命令。因此,看起来 Dovecot 正在接受 TLS 连接,但是当 Postifx 尝试连接时,协商会停止。

如果我运行:

openssl s_client -starttls lmtp -connect domain.com:24 -CAfile /etc/ssl/domain.com/authority.crt

我刚刚得到:

CONNECTED(00000003)

并且无法发出任何 telnet 命令。

答案1

如果(根据您的 openssl s_client 测试)正确地在 TLS 中包装整个 LMTP 会话,并且只是 STARTTLS 兼容性黑客导致了麻烦,请告诉 Postfix 执行前者。

lmtp_tls_wrappermode=yes

但是,请验证您要求客户端证书的设置是否有效。您的s_client测试结果似乎尚未确定该部分。另外,删除该lmtp_use_tls设置 - 它将被覆盖并被淘汰lmtp_tls_security_level

相关内容