[10.12 Sierra] Mail mit TLS absichern

[Ijon Tichy]

Hallo,

kann mir jemand erklären wie ich den Mailserver der Server.app über SSL/TLS absichern kann? Genauer gesagt wüsste ich gerne

• wo bzw. wie ich im Log sehe, ob über SMTP eingelieferte Mails mit TLS abgesichert worden sind
• wie ich einstellen kann, dass ungesicherte Verbindungen vom Mailserver nicht mehr akzeptiert werden

Ob SSL/TLS oder StartTLS wäre mir egal.

Was ich bisher probiert habe:

Unter Certificates habe ich dem Mailserver ein SSL-Zertifikat zugewiesen. Im Client kann ich StartTLS aktivieren, aber nicht SSL/TLS. Als Port funktionierten 25 oder 587, nicht aber 465. Ich vermute nun, dass keine SSL-Verbindung aufgebaut wird und Client und Server sich bei StartTLS auf eine ungesicherte Verbindung einigen, sodass ich bisher nichts gewonnen haben.

Any hints?

 

[Ijon Tichy]

Nach Test mit dem openssl-Client stelle ich fest, dass STARTTLS funktioniert. Dabei ist STARTTLS auf Port 25 optional und auf Port 587 erforderlich.

SMTP über SSL (aka Secure SMTP oder SMTPS) funktioniert nicht, da der Mailserver einfach kein Zertifikat sendet. Wird vielleicht vom macOS Server gar nicht untertützt.

Zur Info, so kann man das testen:

SMTP mit STARTTLS mit

openssl s_client -starttls smtp -showcerts -connect smtp.domain:587 -servername smtp.domain

Wenn es klappt, kommen Zertifikatsdaten und dann so was wie

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: CE510AD43B7F53F9D737E602F87BE68606141E38CCE8856CE5355C753B82F56E
    Session-ID-ctx:
    Master-Key: 06E4CD4979164A9A8AB2325AE6A666CF6F64F31EB34652CD6BAF57DA757DA10F5079737C7A08BBC8ECD59EAFF8835B76
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    [...]

Secure SMTP mit

openssl s_client -showcerts -connect smtp.domain:587 -servername smtp.domain