[Postfixbuch-users] Wer kann mir bitte helfen??? postfix mit TLS

Carsten Laun-De Lellis carsten.delellis at delellis.net
Mo Jul 27 13:28:06 CEST 2009


Hallo

Ich bin zwar kein Guru, wie die meisten anderen hier, sondern ein Newbie,
der sich seit etwa 2 Monate intensiv mit Postfix, dovecot und mailing im
allgemeinen beschäftigt. Aus diesem Grund solltest Du bei meinen Bemerkungen
bitte etwas großzügiger sein. Aber vielleicht kann gerade ich Dir
weiterhelfen, da ich mich auf einem ähnlichen Niveau bewege.

Wäre toll, wenn jemand aus der Liste meine Anregungen kommentieren könnte,
da ich natürlich hier auch weiterlernen möchte.

Carsten Laun-De Lellis
Dipl.-Ing. Elektrotechnik
Certified Information Systems Auditor (CISA)

Hauptstrasse 13
D-67705 Trippstadt

Phone: +49 (6306) 992140
Mobile: +49 (151) 27530865
email:   carsten.delellis at delellis.net


> -----Ursprüngliche Nachricht-----
> Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- 
> users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic
> Gesendet: Freitag, 24. Juli 2009 21:00
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] Wer kann mir bitte helfen??? postfix 
> mit TLS
>
> smaerz at mnet-online.de wrote:
> > Hi.
> >
> > Ich bin echt am verzweifeln...
> >
> > Ich will postfix mit dovecot instalieren und hänge bei postfix an 2 
> > Punkten (dovecot läuft ok)
> >
> > System ist debian5 (lenny) 64
> >
> > Mein erstes Problem ist dass postfix keine mails nach aussen
> schickt...
> >
> > Das zweite ist scheinbar ein TLS Problem, denn sobald ich versuche
> über
> > SSL mails zu senden kommt es entweder zum timeout (Outlook) oder
> TheBat
> > meldet:
> >
> > SEND  - TLS-Protokollfehler: Unerwartete Nachricht 
> > SessionUnknownContentType ct (50) SEND  - Verbindung beendet - 0 
> > Nachrichten versandt SEND  - Einige Nachrichten wurden nicht 
> > versendet - prüfen Sie die Logdatei nach Informationen
> >
> > Ich bin jedem dankbar der mir hier helfen kann!!
> >
> > Vielen Dank im Voraus!
> >
> > postconf -n
> >
> > alias_database = hash:/etc/aliases
> > alias_maps = hash:/etc/aliases
> > allow_min_user = yes
> > append_dot_mydomain = no
> > biff = no
> > broken_sasl_auth_clients = yes
> > config_directory = /etc/postfix
> > home_mailbox = mails/
[>]

Hier steht ein relativer Pfad. Ich denke man sollte einen absoluten Pfad in
Bezug zur root angeben, oder sollen die mails im home Verzeichnis abgelegt
werden?

> > inet_interfaces = all
> > local_recipient_maps =
> > luser_relay = contact
> > mailbox_size_limit = 0
> > mydestination = safer-print.com, safer-print.de, safer-print.eu, 
> > safer-print.it, localhost.$mydomain, localhost mydomain = 
> > safer-print.com mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 
> > [::1]/128 myorigin = /etc/mailname readme_directory = no 
> > recipient_delimiter = + relay_domains = $mydestination

Ich glaube den Parameter kann man streichen. Den gebe ich nur an, wenn ich
für mails für andere domains, für die ich nicht das Ziel bin angeben.

> > relayhost =
> > smtp_sasl_auth_enable = no
> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
> > smtpd_client_restrictions = reject_invalid_hostname 
> > smtpd_helo_required = yes smtpd_helo_restrictions = 
> > reject_invalid_hostname smtpd_recipient_restrictions = 
> > permit_sasl_authenticated permit_mynetworks 
> > reject_unknown_sender_domain reject_invalid_hostname

Einzelne restrictions mit komma trennen. Wenn mehrere Zeilen, dann am Anfang
immer einrücken.

> > reject_unauth_destination
> > smtpd_sasl_auth_enable = yes
> > smtpd_sasl_local_domain =
> > smtpd_sasl_path = private/auth
> > smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot 
> > smtpd_sender_restrictions = reject_unknown_address 
> > strict_rfc821_envelopes = yes
>
> Hier in deiner Ausgabe von "postconf -n" sehe ich keine TLS-Parameter!
>
> > main.cf
> >
> > # See /usr/share/postfix/main.cf.dist for a commented, more complete
> version
> >
> > # Debian specific:  Specifying a file name will cause the first # 
> > line of that file to be used as the name.  The Debian default # is 
> > /etc/mailname.
> > #myorigin = /etc/mailname
> > #myorigin = $mydomain
> >
> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no
> >
> > # appending .domain is the MUA's job.
> > append_dot_mydomain = no
> >
> > # Uncomment the next line to generate "delayed mail" warnings 
> > #delay_warning_time = 4h
> >
> > readme_directory = no
> >
> > # TLS parameters
> > smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem
> > smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem 
> > smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
>
> Aber hier hast du welche angegeben!
>
> > #smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> > #smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> > #smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem smtpd_use_tls = 
> > yes smtpd_enforce_tls = no smtpd_tls_auth_only = yes 
> > smtpd_tls_session_cache_database =
> btree:${data_directory}/smtpd_scache
> > smtp_tls_session_cache_database = 
> > btree:${data_directory}/smtp_scache
> > smtpd_tls_security_level = may
> >
> > # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc 
> > package
> for
> > # information on enabling SSL in the smtp client.
> >
> > #SASL parameters
> > smtpd_sasl_auth_enable = yes
> > smtpd_sasl_type = dovecot
> > smtpd_sasl_path = private/auth
> >
> > smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = 
> > smtp_sasl_auth_enable = no broken_sasl_auth_clients = yes
> >
> > #Virtual Daomain parameters
> > #virtual_alias_domains = safer-print.de, safer-print.eu, safer-
> print.it
> > #virtual_alias_maps = hash:/etc/postfix/virtual_domains
> >
> > #Anti SPAM
> > check_policy_service = inet:127.0.0.1:12525
> >
> > #myhostname = mail.safer-print.com
> > mydomain = safer-print.com
> > alias_maps = hash:/etc/aliases
> > alias_database = hash:/etc/aliases
> > myorigin = /etc/mailname
> > mydestination = safer-print.com, safer-print.de, safer-print.eu, 
> > safer-print.it, localhost.$mydomain, localhost relayhost = 
> > relay_domains = $mydestination mynetworks = 127.0.0.0/8 
> > [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 
> > recipient_delimiter = + inet_interfaces = all allow_min_user = yes 
> > #smtpd_tls_key_file = /etc/ssl/private/dovecot.pem 
> > smtpd_recipient_restrictions = permit_sasl_authenticated 
> > permit_mynetworks reject_unknown_sender_domain
> reject_invalid_hostname
> > reject_unauth_destination
> > smtpd_helo_required = yes
> > smtpd_helo_restrictions = reject_invalid_hostname 
> > #smtpd_recipient_restrictions = permit_mynetworks 
> > reject_unknown_recipient_domain permit_sasl_authenticated 
> > reject_unauth_destination smtpd_sender_restrictions = 
> > reject_unknown_address smtpd_client_restrictions = 
> > reject_invalid_hostname strict_rfc821_envelopes = yes home_mailbox = 
> > mails/ local_recipient_maps = luser_relay = contact
> >
> > master.cf
> >
> > #
> > # Postfix master process configuration file.  For details on the
> format
> > # of the file, see the master(5) manual page (command: "man 5
> master").
> > #
> > # Do not forget to execute "postfix reload" after editing this file.
> > #
> > #
> ======================================================================
> =
> ===
> > # service type  private unpriv  chroot  wakeup  maxproc command +
> args
> > #               (yes)   (yes)   (yes)   (never) (100)
> > #
> ======================================================================
> =
> ===
> > smtp      inet  n       -       y       -       -       smtpd
> > submission inet n       -       -       -       -       smtpd
>
> Du hast für beide Ports ein chroot angegeben (chroot = "y" oder "-").
> Ich
> nehme an, dass du die entsprechenden Parameter nicht ins chroot 
> übernommen hast. Das kann eine Ursache dafür sein.
>
> Ist das ein Debian-System?
>
> > #  -o smtpd_tls_security_level=encrypt #  -o 
> > smtpd_sasl_auth_enable=yes #  -o 
> > smtpd_client_restrictions=permit_sasl_authenticated,reject
> > #  -o milter_macro_daemon_name=ORIGINATING
> > smtps     inet  n       -       y       -       -       smtpd
> > #  -o smtpd_tls_wrappermode=yes
> > #  -o smtpd_sasl_auth_enable=yes
> > #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> > #  -o milter_macro_daemon_name=ORIGINATING
> > #628      inet  n       -       -       -       -       qmqpd
> > pickup    fifo  n       -       -       60      1       pickup
> > cleanup   unix  n       -       -       -       0       cleanup
> > qmgr      fifo  n       -       n       300     1       qmgr
> > #qmgr     fifo  n       -       -       300     1       oqmgr
> > tlsmgr    unix  -       -       -       1000?   1       tlsmgr
> > rewrite   unix  -       -       -       -       -       trivial-
> rewrite
> > bounce    unix  -       -       -       -       0       bounce
> > defer     unix  -       -       -       -       0       bounce
> > trace     unix  -       -       -       -       0       bounce
> > verify    unix  -       -       -       -       1       verify
> > flush     unix  n       -       -       1000?   0       flush
> > proxymap  unix  -       -       n       -       -       proxymap
> > proxywrite unix -       -       n       -       1       proxymap
> > smtp      unix  -       -       -       -       -       smtp
> > # When relaying mail as backup MX, disable fallback_relay to avoid 
> > MX
> loops
> > relay     unix  -       -       -       -       -       smtp
> >         -o smtp_fallback_relay=
> > #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
> > showq     unix  n       -       -       -       -       showq
> > error     unix  -       -       -       -       -       error
> > retry     unix  -       -       -       -       -       error
> > discard   unix  -       -       -       -       -       discard
> > local     unix  -       n       n       -       -       local
> > virtual   unix  -       n       n       -       -       virtual
> > lmtp      unix  -       -       -       -       -       lmtp
> > anvil     unix  -       -       -       -       1       anvil
> > scache    unix  -       -       -       -       1       scache
> > #
> > #
> ====================================================================
> > # Interfaces to non-Postfix software. Be sure to examine the manual 
> > # pages of the non-Postfix software to find out what options it
> wants.
> > #
> > # Many of the following services use the Postfix pipe(8) delivery # 
> > agent.  See the pipe(8) man page for information about ${recipient} 
> > # and other message envelope options.
> > #
> ====================================================================
> > #
> > # maildrop. See the Postfix MAILDROP_README file for details.
> > # Also specify in main.cf: maildrop_destination_recipient_limit=1
> > #
> > maildrop  unix  -       n       n       -       -       pipe
> >   flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # # 
> > See the Postfix UUCP_README file for configuration details.
> > #
> > uucp      unix  -       n       n       -       -       pipe
> >   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
> > ($recipient)
> > #
> > # Other external delivery methods.
> > #
> > ifmail    unix  -       n       n       -       -       pipe
> >   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop
> ($recipient)
> > bsmtp     unix  -       n       n       -       -       pipe
> >   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop 
> > -f$sender $recipient
> > scalemail-backend unix  -       n       n       -       2       pipe
> >   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
> > ${nexthop} ${user} ${extension}
> > mailman   unix  -       n       n       -       -       pipe
> >   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
> >   ${nexthop} ${user}
> >
> > Ich hoffe ich hab nichts vergessen....
>
> Die Logzeilen von Postfix wären sehr hilfreich aus /var/log/mail.*, 
> die zu dieser Zeit geloggt wurden.
>
> --
> Sandy
> Antworten bitte nur in die Mailingliste!
> PMs bitte an: news-reply2 (@)drobic (.) de
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional 
> Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
[>]

Sonstige Anmerkungen:

- Warum virtual alias domains ??
- Warum überhaupt nicht nur virtuelle domains ?? Was machen die user noch
ausser emailing, so dass system accounts notwendig sind ?
- Ist in der dovecot.conf postfix als client prozess für die
authentifizierung definiert ?
- Warum nicht dovecot als transport für virtuelle domains definert ?
- Hat unauthentifiziertes relayen funktioniert ?
- Was bekommt man, wenn man ein telnet auf port 25 macht ?
- Was steht im log ?




Mehr Informationen über die Mailingliste Postfixbuch-users