[Postfixbuch-users] Wer kann mir bitte helfen??? postfix mit TLS

Carsten De Lellis carsten.delellis at delellis.net
Sa Jul 25 21:04:00 CEST 2009


Hallo

Ich bin zwar kein Guru, wie die meisten anderen hier, sondern ein Newbie,
der sich seit etwa 2 Monate intensiv mit Postfix, dovecot und mailing im
allgemeinen beschäftigt. Aus diesem Grund solltest Du bei meinen Bemerkungen
bitte etwas großzügiger sein. Aber vielleicht kann gerade ich Dir
weiterhelfen, da ich mich auf einem ähnlichen Niveau bewege.

Wäre toll, wenn jemand aus der Liste meine Anregungen kommentieren könnte,
da ich natürlich hier auch weiterlernen möchte.

Carsten Laun-De Lellis 
Dipl.-Ing. Elektrotechnik 
Certified Information Systems Auditor (CISA) 

Hauptstrasse 13 
D-67705 Trippstadt 

Phone: +49 (6306) 992140 
Mobile: +49 (151) 27530865 
email:   carsten.delellis at delellis.net


> -----Ursprüngliche Nachricht-----
> Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic
> Gesendet: Freitag, 24. Juli 2009 21:00
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] Wer kann mir bitte helfen??? postfix
> mit TLS
> 
> smaerz at mnet-online.de wrote:
> > Hi.
> >
> > Ich bin echt am verzweifeln...
> >
> > Ich will postfix mit dovecot instalieren und hänge bei postfix an 2
> > Punkten (dovecot läuft ok)
> >
> > System ist debian5 (lenny) 64
> >
> > Mein erstes Problem ist dass postfix keine mails nach aussen
> schickt...
> >
> > Das zweite ist scheinbar ein TLS Problem, denn sobald ich versuche
> über
> > SSL mails zu senden kommt es entweder zum timeout (Outlook) oder
> TheBat
> > meldet:
> >
> > SEND  - TLS-Protokollfehler: Unerwartete Nachricht
> > SessionUnknownContentType ct (50)
> > SEND  - Verbindung beendet - 0 Nachrichten versandt
> > SEND  - Einige Nachrichten wurden nicht versendet - prüfen Sie die
> > Logdatei nach Informationen
> >
> > Ich bin jedem dankbar der mir hier helfen kann!!
> >
> > Vielen Dank im Voraus!
> >
> > postconf -n
> >
> > alias_database = hash:/etc/aliases
> > alias_maps = hash:/etc/aliases
> > allow_min_user = yes
> > append_dot_mydomain = no
> > biff = no
> > broken_sasl_auth_clients = yes
> > config_directory = /etc/postfix
> > home_mailbox = mails/
[>] 

Hier steht ein relativer Pfad. Ich denke man sollte einen absoluten Pfad in
Bezug zur root angeben, oder sollen die mails im home Verzeichnis abgelegt
werden?

> > inet_interfaces = all
> > local_recipient_maps =
> > luser_relay = contact
> > mailbox_size_limit = 0
> > mydestination = safer-print.com, safer-print.de, safer-print.eu,
> > safer-print.it, localhost.$mydomain, localhost
> > mydomain = safer-print.com
> > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
> > myorigin = /etc/mailname
> > readme_directory = no
> > recipient_delimiter = +
> > relay_domains = $mydestination

Ich glaube den Parameter kann man streichen. Den gebe ich nur an, wenn ich
für mails für andere domains, für die ich nicht das Ziel bin angeben.  

> > relayhost =
> > smtp_sasl_auth_enable = no
> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> > smtpd_client_restrictions = reject_invalid_hostname
> > smtpd_helo_required = yes
> > smtpd_helo_restrictions = reject_invalid_hostname
> > smtpd_recipient_restrictions = permit_sasl_authenticated 
> > permit_mynetworks reject_unknown_sender_domain
> > reject_invalid_hostname

Einzelne restrictions mit komma trennen. Wenn mehrere Zeilen, dann am Anfang
immer einrücken.

> > reject_unauth_destination
> > smtpd_sasl_auth_enable = yes
> > smtpd_sasl_local_domain =
> > smtpd_sasl_path = private/auth
> > smtpd_sasl_security_options = noanonymous
> > smtpd_sasl_type = dovecot
> > smtpd_sender_restrictions = reject_unknown_address
> > strict_rfc821_envelopes = yes
> 
> Hier in deiner Ausgabe von "postconf -n" sehe ich keine TLS-Parameter!
> 
> > main.cf
> >
> > # See /usr/share/postfix/main.cf.dist for a commented, more complete
> version
> >
> > # Debian specific:  Specifying a file name will cause the first
> > # line of that file to be used as the name.  The Debian default
> > # is /etc/mailname.
> > #myorigin = /etc/mailname
> > #myorigin = $mydomain
> >
> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> > biff = no
> >
> > # appending .domain is the MUA's job.
> > append_dot_mydomain = no
> >
> > # Uncomment the next line to generate "delayed mail" warnings
> > #delay_warning_time = 4h
> >
> > readme_directory = no
> >
> > # TLS parameters
> > smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem
> > smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
> > smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
> 
> Aber hier hast du welche angegeben!
> 
> > #smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> > #smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> > #smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem
> > smtpd_use_tls = yes
> > smtpd_enforce_tls = no
> > smtpd_tls_auth_only = yes
> > smtpd_tls_session_cache_database =
> btree:${data_directory}/smtpd_scache
> > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> > smtpd_tls_security_level = may
> >
> > # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package
> for
> > # information on enabling SSL in the smtp client.
> >
> > #SASL parameters
> > smtpd_sasl_auth_enable = yes
> > smtpd_sasl_type = dovecot
> > smtpd_sasl_path = private/auth
> >
> > smtpd_sasl_security_options = noanonymous
> > smtpd_sasl_local_domain =
> > smtp_sasl_auth_enable = no
> > broken_sasl_auth_clients = yes
> >
> > #Virtual Daomain parameters
> > #virtual_alias_domains = safer-print.de, safer-print.eu, safer-
> print.it
> > #virtual_alias_maps = hash:/etc/postfix/virtual_domains
> >
> > #Anti SPAM
> > check_policy_service = inet:127.0.0.1:12525
> >
> > #myhostname = mail.safer-print.com
> > mydomain = safer-print.com
> > alias_maps = hash:/etc/aliases
> > alias_database = hash:/etc/aliases
> > myorigin = /etc/mailname
> > mydestination = safer-print.com, safer-print.de, safer-print.eu,
> > safer-print.it, localhost.$mydomain, localhost
> > relayhost =
> > relay_domains = $mydestination
> > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
> > mailbox_size_limit = 0
> > recipient_delimiter = +
> > inet_interfaces = all
> > allow_min_user = yes
> > #smtpd_tls_key_file = /etc/ssl/private/dovecot.pem
> > smtpd_recipient_restrictions = permit_sasl_authenticated
> > permit_mynetworks reject_unknown_sender_domain
> reject_invalid_hostname
> > reject_unauth_destination
> > smtpd_helo_required = yes
> > smtpd_helo_restrictions = reject_invalid_hostname
> > #smtpd_recipient_restrictions = permit_mynetworks
> > reject_unknown_recipient_domain permit_sasl_authenticated
> > reject_unauth_destination
> > smtpd_sender_restrictions = reject_unknown_address
> > smtpd_client_restrictions = reject_invalid_hostname
> > strict_rfc821_envelopes = yes
> > home_mailbox = mails/
> > local_recipient_maps =
> > luser_relay = contact
> >
> > master.cf
> >
> > #
> > # Postfix master process configuration file.  For details on the
> format
> > # of the file, see the master(5) manual page (command: "man 5
> master").
> > #
> > # Do not forget to execute "postfix reload" after editing this file.
> > #
> > #
> =======================================================================
> ===
> > # service type  private unpriv  chroot  wakeup  maxproc command +
> args
> > #               (yes)   (yes)   (yes)   (never) (100)
> > #
> =======================================================================
> ===
> > smtp      inet  n       -       y       -       -       smtpd
> > submission inet n       -       -       -       -       smtpd
> 
> Du hast für beide Ports ein chroot angegeben (chroot = "y" oder "-").
> Ich
> nehme an, dass du die entsprechenden Parameter nicht ins chroot
> übernommen
> hast. Das kann eine Ursache dafür sein.
> 
> Ist das ein Debian-System?
> 
> > #  -o smtpd_tls_security_level=encrypt
> > #  -o smtpd_sasl_auth_enable=yes
> > #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> > #  -o milter_macro_daemon_name=ORIGINATING
> > smtps     inet  n       -       y       -       -       smtpd
> > #  -o smtpd_tls_wrappermode=yes
> > #  -o smtpd_sasl_auth_enable=yes
> > #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> > #  -o milter_macro_daemon_name=ORIGINATING
> > #628      inet  n       -       -       -       -       qmqpd
> > pickup    fifo  n       -       -       60      1       pickup
> > cleanup   unix  n       -       -       -       0       cleanup
> > qmgr      fifo  n       -       n       300     1       qmgr
> > #qmgr     fifo  n       -       -       300     1       oqmgr
> > tlsmgr    unix  -       -       -       1000?   1       tlsmgr
> > rewrite   unix  -       -       -       -       -       trivial-
> rewrite
> > bounce    unix  -       -       -       -       0       bounce
> > defer     unix  -       -       -       -       0       bounce
> > trace     unix  -       -       -       -       0       bounce
> > verify    unix  -       -       -       -       1       verify
> > flush     unix  n       -       -       1000?   0       flush
> > proxymap  unix  -       -       n       -       -       proxymap
> > proxywrite unix -       -       n       -       1       proxymap
> > smtp      unix  -       -       -       -       -       smtp
> > # When relaying mail as backup MX, disable fallback_relay to avoid MX
> loops
> > relay     unix  -       -       -       -       -       smtp
> >         -o smtp_fallback_relay=
> > #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
> > showq     unix  n       -       -       -       -       showq
> > error     unix  -       -       -       -       -       error
> > retry     unix  -       -       -       -       -       error
> > discard   unix  -       -       -       -       -       discard
> > local     unix  -       n       n       -       -       local
> > virtual   unix  -       n       n       -       -       virtual
> > lmtp      unix  -       -       -       -       -       lmtp
> > anvil     unix  -       -       -       -       1       anvil
> > scache    unix  -       -       -       -       1       scache
> > #
> > #
> ====================================================================
> > # Interfaces to non-Postfix software. Be sure to examine the manual
> > # pages of the non-Postfix software to find out what options it
> wants.
> > #
> > # Many of the following services use the Postfix pipe(8) delivery
> > # agent.  See the pipe(8) man page for information about ${recipient}
> > # and other message envelope options.
> > #
> ====================================================================
> > #
> > # maildrop. See the Postfix MAILDROP_README file for details.
> > # Also specify in main.cf: maildrop_destination_recipient_limit=1
> > #
> > maildrop  unix  -       n       n       -       -       pipe
> >   flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
> > #
> > # See the Postfix UUCP_README file for configuration details.
> > #
> > uucp      unix  -       n       n       -       -       pipe
> >   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
> > ($recipient)
> > #
> > # Other external delivery methods.
> > #
> > ifmail    unix  -       n       n       -       -       pipe
> >   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop
> ($recipient)
> > bsmtp     unix  -       n       n       -       -       pipe
> >   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender
> > $recipient
> > scalemail-backend unix  -       n       n       -       2       pipe
> >   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
> > ${nexthop} ${user} ${extension}
> > mailman   unix  -       n       n       -       -       pipe
> >   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
> >   ${nexthop} ${user}
> >
> > Ich hoffe ich hab nichts vergessen....
> 
> Die Logzeilen von Postfix wären sehr hilfreich aus /var/log/mail.*, die
> zu
> dieser Zeit geloggt wurden.
> 
> --
> Sandy
> Antworten bitte nur in die Mailingliste!
> PMs bitte an: news-reply2 (@)drobic (.) de
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
[>] 

Sonstige Anmerkungen:

- Warum virtual alias domains ??
- Warum überhaupt nicht virtuelle domains ??
- Ist bei dovecot postfix als client prozess für die authentifizierung
definiert ?
- Warum nicht dovecot als transport für virtuelle domains definert ?
- Hat unauthentifiziertes relayen funktioniert ?
- Was bekommt man, wenn man ein telnet auf port 25 macht ?
- Was steht im log ?




Mehr Informationen über die Mailingliste Postfixbuch-users