Adrian Zaugg's questions

我的 exim 服务器配置为在建立连接时请求客户端证书。我设置了一个 ACL（在 rcpt 阶段）来记录或添加一个标题。证书检查结果：

warn
   encrypted = *
   ! verify = certificate
   #condition = ${if def:tls_in_peerdn {yes}{no}}   # -> newer versions of exim use $tls_in_peerdn!
   condition = ${if def:tls_peerdn {yes}{no}} 
   add_header = X-TLS-Client-Certificate: invalid (${tls_peerdn})
   log_message = Invalid TLS client certificate presented (${tls_peerdn}).

warn
   encrypted = *
   ! verify = certificate
   condition = ${if def:tls_peerdn {no}{yes}} 
  log_message = No TLS client certificate presented.

warn
   verify = certificate  
   add_header = X-TLS-Client-Certificate: valid
   condition = false

不幸的是，我看到的任何消息都没有被检查为有效。但检查无证书有效。

我设置

tls_try_verify_hosts = *

因此进行了检查，并且（使用 Debian，它包含在标准配置中）信任锚已配置并可以访问：

tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt

测试...

openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -verify 4 -connect mailserver.dom.tld:25 -starttls smtp -cert /etc/ssl/letsencrypt/fullchain.pem -key /etc/ssl/letsencrypt/privkey.pem

...从服务器到自身使用与服务器使用相同的密钥，包括按正确顺序的中间证书不会给出有效的检查结果。

我错过了什么？

我正在努力使用外部 SRS 守护程序（Debian 软件包 srs）设置 exim 4。srsd 正在运行并且可以很好地来回转换地址。我不能使用 exim 的内置 srs 代码，因为它在 Debian 中没有启用（知道我可以自己编译，但这不是一个选项）。

我遇到的问题是 exim 中的 srs_forward 路由器将 SRS 标签添加到转发的邮件。我有以下重定向路由器，它应该只为来自非本地发件人和非本地收件人的非错误消息运行，而不是为另一个 mx 中继 - 至少我理解 srs 将应用于此类消息。请纠正我，如果这是错误的。我有以下代码：

srs_forward:
  debug_print = "R: srs_forward for $local_part@$domain"
  driver = redirect
  senders = ! :
  condition = ${if ! match_domain{$sender_address_domain}{+local_domains}}
  domains = ! +local_domains : ! +relay_to_domains
  address_data = ${readsocket{/tmp/srsd}\
                {FORWARD $sender_address_local_part@$sender_address_domain $domain\n}\
                                        {5s}{\n}{:defer: SRS daemon failure}}
  errors_to = ${quote_local_part:${local_part:$address_data}}@${domain:$address_data}
  data = ${quote_local_part:$local_part}@$domain
  headers_add = X-SRS: Sender address rewritten from $sender_address to ${quote_local_part:${local_part:$address_data}}@$$
  repeat_use = false
  allow_defer
  no_verify

我可以测试和工作的内容：正确生成返回路径（带有address_data和errors_to的行，以及to-address（以数据开头的行）。

我不确定前提条件：

senders = ! : 

此行应防止路由器运行错误消息。

condition = ${if ! match_domain{$sender_address_domain}{+local_domains}}

此行应防止路由器运行来自本地发件人的消息。

domains = ! +local_domains : ! +relay_to_domains

此行应防止路由器运行发送给本地收件人的消息或中继消息。

有人可以澄清一下吗？

（我使用手册作为起点，虽然没有成功。）