[uylug-varios] iRedMail/SSL
Carlos M. Martinez
carlosmarcelomartinez at gmail.com
Fri Aug 24 11:51:25 PDT 2018
Hola, verifica si el server está pudiendo resolver DNS y en todo caso
fijate en el /var/log/mail.log o similar porque no están saliendo.
On 24 Aug 2018, at 15:40, Raul Lopez wrote:
> Gracias Gabriel, quitando CA_file y CA_path comenzo a funcionar.
> El problema que estoy viendo ahora es que las cuenats que no
> pertenecen al mismo dominio del servidor no se comunican con el
> exterior.
> Todas las cuentas se comunican entre si a traves del webail pero no
> reciben ni emiten para direcciones externas.
> El test de propagacion mx da bien para todos los dominios pero el test
> de smtp solo da bien en el dominio del servidor.
>
> El 23/08/2018 a las 10:44 p.m., Gabriel Cabillón escribió:
>> El 23/8/2018 a las 21:30, Raul Lopez escribió:
>>> Hola.
>>> Instale el iRedMail y anduvo todo bien hasta que le configure los
>>> certificados SSL.
>>> Probe crear cuentas, envio y recepcion en distintos dominios sin
>>> problema.
>>> Los certificados en ngnix anduvieron bien. Entrando al webmail
>>> (RoundCube) y a la administracion (iRedAdmin) los marca como
>>> seguros. El tema es que despues de aplicar los certificados en
>>> Postfix y Dovecot como sugiere la documentacion de iRedMail da error
>>> de autenticacion SMTP al intentar enviar por webmail o thunderbird.
>>> Agradezco cualquier sugerencia. No tengo experiencia previa con
>>> Postfix/Dovecot y ni idea por donde arrancar a buscar.
>>>
>>> /etc/postfix/main.cf
>>> ...
>>> #
>>> # TLS settings.
>>> #
>>> # SSL key, certificate, CA
>>> #
>>> smtpd_tls_key_file = /etc/ssl/private/domain.key
>>> smtpd_tls_cert_file = /etc/ssl/certs/chained.pen
>>> smtpd_tls_CAfile = /etc/ssl/certs/dhparam.pem
>>> smtpd_tls_CApath = /etc/ssl/certs
>>
>> el certificado es chained.pen o chained.pem?
>>
>> el CAFfile dhparam.pem más que certificado, parece el nombre del
>> archivo donde se encuentran los parámetros Diffie–Hellman
>> generados con
>> por ej. openssl dhparam ...
>>
>> si no emitís certificados para la autenticación de los clientes
>> conviene que no utilices CAfile y CApath
>> (http://www.postfix.org/TLS_README.html)
>>
>>> ...
>>>
>>> /etc/dovecot/dovecot.conf
>>> ...
>>> ssl_protocols = !SSLv2 !SSLv3
>>> ssl = required
>>> verbose_ssl = no
>>> #ssl_ca = </path/to/ca
>>>
>>> #ssl_cert = </etc/ssl/certs/iRedMail.crt
>>> #ssl_key = </etc/ssl/private/iRedMail.key
>>>
>>> ssl_cert = </etc/ssl/certs/chained.pem
>>> ssl_key = </etc/ssl/private/domain.key
>>> ssl_ca = </etc/ssl/certs/dhparam.pem
>>> ...
>>
>> mismo comentario de arriba con respecto al dhparam.pem
>>
>>>
>>>
>>> /etc/nginx/sites-available/00-default-ssl.conf
>>> ...
>>> ssl on;
>>> ssl_certificate /etc/ssl/certs/chained.pem;
>>> ssl_certificate_key /etc/ssl/private/domain.key;
>>> ssl_session_timeout 5m;
>>> ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>>> ssl_ciphers
>>> ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
>>> ssl_session_cache shared:SSL:50m;
>>> ssl_dhparam /etc/ssl/certs/dhparam.pem;
>>> ssl_prefer_server_ciphers on;
>>> ...
>>>
>>> Saludos
>>> Raul
>>>
>>>
>>>
>>> _______________________________________________
>>> Uylug-varios mailing list
>>> Uylug-varios at listas.uylug.org.uy
>>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>>
>> si seguís con problemas, algún log de postfix y dovecot con el
>> error sería de ayuda.
>>
>> Saludos,
>> Gabriel
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
More information about the Uylug-varios
mailing list