SSL / STARTTLS und Umlautprobleme

Christian Leicht usenet at schani.com
Do Okt 8 22:18:11 CEST 2015


Ich habe postfix 2.7.1 auf einer debian 6 Installation.
Ja, ist nicht mehr die neuste Version. Ein Umstieg auf debian 8 ist 
geplant, dauert aber noch ein paar Wochen. Da hängt noch mehr dran.

Ich muss meinen Mailserver überprüfen, da ich nicht weiß ob alles 
richtig konfiguriert ist. Soweit funktioniert eigentlich alles. Naja 
heute hatte ein Thunderbird seine Macken, wobei mir nicht klar ist wo 
der Fehler war. Nach Neuinstallation und DNS Cache leeren, neue Router 
IP usw. geht TB nun wieder. Alle anderen Clients machen keine Probleme.

Meine Unsicherheit rührt daher, das sich auch auf Port 25 eine TLS 
Verbindung aufbauen lässt. Ich hatte auch einige Mühe die Zertifikate zu 
implementieren, da die StartSSL Anleitungen so für Postfix nicht 
funktionieren. Man muss erst das eigene domain.crt mit der "Class 1 
Intermediate Server CA" kombinieren damit es in Postfix funktioniert.
Ciper usw. sind für mich "Neuland". Ich weiß nicht ob ich das brauche.

Mein Setup:

ASSP -> postfix -> dovecot
ASSP <- postfix

ASSP tut schon seit einiger Zeit gute Dienste. Ich weiß das Postfix das 
auch alles kann. Aber ich hab mich dran gewöhnt.

Ziel ist es Port 25, 465 und 587 sauber zu implementieren das SSL/TLS 
und STARTTLS solide arbeiten. Ich habe von StartSSL ein Zertifkat und 
alles so eingerichtet das externe Prüfungen keine Fehler zeigen.

Was ich nicht prüfen kann, bzw. wozu ich nicht in der Lage bin, ob die 
STARTTLS Funktion sauber arbeitet und umschaltet bzw. prüft ob TLS 
möglich ist. Dazu gibt es so eine Menge an Variablen die mir da im Weg 
stehen (ASSP SSL/TLS Einstellungen, Port Umleitungen, Services, 
Postfix). Soweit ich weiß gibt es für die Dovecot Seite kein STARTTLS.
Gibt es Tools die so ein Setup checken? Die meisten Email Clients an dem 
Server arbeiten derzeit auf 465, in Zukunft aber eher mit STARTSSL. IMAP 
und Pop scheinen gut zu funktionieren.

Das von Andreas vorgeschlagene DANE sagt mir Ansatzweise was. Wie das 
funktioniert weiß ich nicht. Wäre schön, muss aber nicht (evtl. für 
debian 8 ab November - ich lerne gerne).

Könnt Ihr mir dazu ein paar Tipps geben wie ich mich da ran tasten kann.

Besten Dank für Eure Hilfe und Tipps

Christian



postconf -d | grep mail_version
mail_version = 2.7.1


postconf -n
alias_maps = $alias_database
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
default_destination_concurrency_limit = 20
inet_interfaces = all
local_destination_concurrency_limit = 2
local_transport = local
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
maximal_queue_lifetime = 3d
message_size_limit = 125829120
mydestination = $myhostname,$mydomain,
localhost.$myhostname,localhost.$mydomain,
localhost

mydomain = mail.xxxx.info
myhostname = $mydomain
mynetworks = 127.0.0.0/8
smtp_tls_loglevel = 2
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP
smtpd_client_restrictions = permit_mynetworks, 
permit_sasl_authenticated, 
reject_unknown_client_hostname

smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, 
      permit_sasl_authenticated, 
reject_unauth_destination,      reject_unauth_pipelining, 
          reject_non_fqdn_recipient

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = 
mysql:/etc/postfix/mysql-virtual_sender_permissions.cf
smtpd_sender_restrictions = permit_mynetworks, 
reject_sender_login_mismatch, 
permit_sasl_authenticated,              reject_unknown_helo_hostname, 
                  reject_unknown_recipient_domain, 
   reject_unknown_sender_domain

smtpd_tls_cert_file = /usr/share/assp/certs/server_mit_chain.pem
smtpd_tls_key_file = /usr/share/assp/certs/mail.xxxx.info.key.ohnepass
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_use_tls = yes
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_gid_maps = static:2000
virtual_mailbox_base = /home/mail/
virtual_mailbox_domains = 
mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_mailbox_limit = 0
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_transport = dovecot
virtual_uid_maps = static:2000


Am 08.10.2015 um 20:10 schrieb Andreas Pothe:
> Servus,
>
> Am 08.10.2015 um 17:35 schrieb Jens Adam:
>> Thu, 8 Oct 2015 17:10:13 +0200
>> Christian Leicht <usenet at schani.com>:
>>
>> Hallo Christian.
>>
>>> smtpd_use_tls = yes
>>> smtp_use_tls = yes
>> Wenn dein Postfix nicht gerade steinalt ist, solltest du die beiden
>> durch 'smtp(d)_tls_security_level = may' ersetzen. Ändert aber effektiv
>> nichts.
>
> Ich würde sogar empfehlen, 'smtp_tls_security_level = dane' zu setzen.
> Voraussetzung: Postfix 2.11 oder neuer und ein DNSSEC-fähiger Resolver.
> Wobei, was wäre die Konsequenz, wenn der Resolver kein DNSSEC kann? Wäre
> "dane" dann gleichbedeutend mit "may" oder würde es Fehlermeldungen hageln?
>
> BG
> Andreas
>



Mehr Informationen über die Mailingliste Postfixbuch-users