Postfix TLS erreur

c_hristophe · Février 21, 2016, 8:55pm

bonjour,

Quand j’envoi un e-mail vers du hotmail, outlook…
dans mes logs j’ai:

[quote]3F04E3BAC14B: to=moi@outlook.fr, relay=mx1.hotmail.com[65.55.33.135]:25, delay=2.4, delays=0.2/0/1.5/0.73, dsn=2.0.0, status=sent (250 003001cfe395$9d19a6d0$d74cf470$@fr Queued mail for delivery)
puis
postfix/smtp[2002]: certificate verification failed for mx3.hotmail.com[65.55.37.72]:25: untrusted issuer /C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
[/quote]

et je n’ai pas de retour et le message n’arrive jamais.

Vous avez une idée de ce que ça pourrez être ?

kna · Février 21, 2016, 8:55pm

Peux-tu donner ta conf de postfix (postconf -n) ?
As-tu le paquet ca-certificates installé ?

c_hristophe · Février 21, 2016, 8:56pm

bonjour !

Oui j’ai bien le paquet ca-certificates d’installé.
Voici ma conf pour postfix:

[quote]# TLS parameters
smtpd_tls_cert_file = $smtpd_tls_dcert_file
smtpd_tls_key_file = $smtpd_tls_dcert_file
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_tls_dcert_file = /etc/courier/pop3d.pem
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_CApath = /etc/ssl/certs/
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_use_tls = yes
smtp_tls_dcert_file = $smtpd_tls_dcert_file
smtp_tls_dkey_file = $smtpd_tls_dcert_file
smtp_tls_CApath = $smtpd_tls_CApath
smtpd_tls_auth_only = no[/quote]

AnonymousCoward · Février 21, 2016, 8:56pm

C’est pas un problème très compliqué, en fait.

Si tu utilise le site https://www.digicert.com/help/ et que tu entres [mono]mx3.hotmail.com:25[/mono] dans le champ “Server Address” puis que tu cliques sur “CHECK SERVER”, tu constateras que la chaîne de certificats se termine par la CA “Baltimore CyberTrust Root” et que le certificat de cette CA est valide depuis le 25/04/2012.

Pour qu’un certificat de CA fasse son travail, il faut qu’il soit pré-installé sur ton système, dans le “magasin de certificats”. C’est le fameux paquet ca-certificates dont kna parlait.
Or, vu que ta signature indique “debian lenny” et que Lenny est une version qui n’est plus maintenue depuis le 06/02/2012 (voir Debian timeline), le magasin de certificats n’a pas du être mis à jour depuis cette date et ne possède donc probablement pas le certificat de la CA “Baltimore CyberTrust Root”.
Pas de certificat de la CA, donc pas de validation du certificat de mx3.hotmail.com et postfix interrompt donc la communication.

Il y a différentes solutions :

Configurer postfix pour ne plus forcément vérifier les certificats SSL. - smtp_tls_security_level
Ajouter le certificat de la CA “Baltimore CyberTrust Root” à ton système, manuellement. soit dans le magasin de certificats du système soit dans un répertoire séparé que tu précises à postfix.
Mettre enfin à jour l’OS pour passer vers la debian Wheezy. La meilleure de toutes les solutions, à mon humble avis.

–
AnonymousCoward

PS - Mille mercis aux personnes de chez Digicert pour avoir développé cet utilitaire très pratique !