From Daniel at Mail24.vip Thu Sep 5 15:21:02 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 5 Sep 2024 15:21:02 +0200 Subject: =?iso-8859-1?Q?Frage_zur_=DCbertragungsbest=E4tigung_=FCber_Relay?= Message-ID: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> Hallo in die Runde, sollte man wenn man ein Relay nutzt, diesen whitelisten, damit alles was SPF, DMARC usw. angeht umgangen wird? Eine Lesebestätigung verschickt ja Mailclient vom Empfänger, entsprechend hat man hier auch korrekte SPF, DKIM usw. Aber bei Übertragungsbestätigung verschickt ja das Relay eine Nachricht, dass dieser ganze losgeworden ist. In meinem Beispiel geht ganze via Mailbox.org raus: Received: from mout-p-101.mailbox.org (mout-p-101.mailbox.org [IPv6:2001:67c:2050:0:465::101]) ... for ; Thu, 5 Sep 2024 14:37:26 +0200 (CEST) Received: by mout-p-101.mailbox.org (Postfix) id x; Thu, 5 Sep 2024 14:37:19 +0200 (CEST) From: "Mail Delivery System" ... Subject: Successful Mail Delivery Report ... Authentication-Results: meine-domain; dmarc=none (p=none dis=none) header.from=mout-p-101.mailbox.org Authentication-Results: meine-domain; dkim=none; dmarc=fail reason="No valid SPF, No valid DKIM" header.from=mailbox.org (policy=reject); spf=none (meine-domain: domain of mout-p-101.mailbox.org has no SPF policy when checking 2001:67c:2050:0:465::101) smtp.helo=mout-p-101.mailbox.org ... Für die Sub Sub Sub Domain setzt ja keiner SPF usw., also wohl soweit ok. Manchmal ist die Bestätigung auch bei mir im Spam gelandet, weil dmarc fail im Spam landet, seiden ne Richtlinie sagt reject, dann wird halt reject ausgeführt. Und das Relay kann ja für den eigentlichen Server nicht signieren. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From Peer-Joachim.Koch at leibniz-hki.de Thu Sep 5 15:21:34 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Thu, 05 Sep 2024 15:21:34 +0200 Subject: =?ISO-8859-1?Q?Antw:=20Frage=20zur=20=DCbertragungsbest=E4tigung?= =?ISO-8859-1?Q?=20=FCber=20Relay=20(Out=20of=20office=20(05.09.->=2027.0?= =?ISO-8859-1?Q?9.])?= In-Reply-To: <2B153F4D020000E79C015D01@weida.hki-jena.de> References: <2B153F4D020000E79C015D01@weida.hki-jena.de> Message-ID: <66D9B05E020000E90009C753@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From nico.funke at spun-industries.de Fri Sep 6 08:47:46 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 6 Sep 2024 08:47:46 +0200 Subject: dovecot: imap-login // SSL_get_servername Message-ID: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> Hallo, sry das ich euch nochmal nerven muss. Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die Mailbox verbinden. Log: dovecot[3153232]: imap-login: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session= Ich habe einiges getestet und mich belesen, es handelt sich offensichtlich um ein SNI Problem; openssl s_client -connect ergibt: Can't use SSL_get_servername Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: local_name imap.example.org { ssl_cert = -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From stickybit at myhm.de Fri Sep 6 17:30:03 2024 From: stickybit at myhm.de (Andre) Date: Fri, 6 Sep 2024 17:30:03 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> Message-ID: <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Hi, versuche mal das hier: ssl_require_crl = no ssl_verify_client_cert = no -- LG Andre Am 06.09.24 um 08:47 schrieb Nico Funke via Postfixbuch-users: > > Hallo, > > sry das ich euch nochmal nerven muss. > > Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die > Mailbox verbinden. > > Log: > dovecot[3153232]: imap-login: Disconnected: Connection closed: > SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad > certificate: SSL alert number 42 (no auth attempts in 0 secs): > user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: > error:0A000412:SSL routines::sslv3 alert bad certificate: SSL > alert number 42, session= > > Ich habe einiges getestet und mich belesen, es handelt sich > offensichtlich um ein SNI Problem; > > openssl s_client -connect ergibt: Can't use SSL_get_servername > > Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: > > local_name imap.example.org { > ssl_cert = ssl_key = } > > Jedoch ändert sich nichts. Auch erhalte ich keine andere / neue > Errormeldung. > Das ist jetzt ein wenig verwirrend. > > > Hat zufällig jemand eine Idee, wo der Fehler liegt? > > Best, > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From stickybit at myhm.de Fri Sep 6 17:31:43 2024 From: stickybit at myhm.de (Andre) Date: Fri, 6 Sep 2024 17:31:43 +0200 Subject: header_checks in MySQL In-Reply-To: References: <98aeb423-9aac-43d8-aec9-e9068caaac95@linuxfox.de> <78af6f2f-3e78-43a0-a27f-749e75c43208@tachtler.net> <3ca03ce6-03d0-47e9-a9cc-10d8969683aa@myhm.de> Message-ID: Hallo Klaus, hallo Markus danke, gut zu wissen für die Zukunft... -- LG Andre Am 31.08.24 um 20:26 schrieb Klaus Tachtler via Postfixbuch-users: > Hallo Andre > > Du hast Recht, in https://www.postfix.org/header_checks.5.html > steht nichts von mysql. > > mysql ist bei maps beschrieben und nicht bei checks. > > > Grüße > Klaus. > From stickybit at myhm.de Fri Sep 6 18:30:36 2024 From: stickybit at myhm.de (Andre) Date: Fri, 6 Sep 2024 18:30:36 +0200 Subject: Absender-Adresse & SASL Message-ID: Hallo zusammen, bevor ich meine User mit evtl. unnötigen Einschränkungen drangsaliere, Frage in die Runde. Einige User verwenden bei deren Mail-Clients abweichende Absender-Adressen, was zu unterschiedlichen Envelope und Header From führt. Ist erstmal nichts Verwerfliches. Man erstellt bspw. ein einziges Postfach, das von mehreren Kameras gemeinsam genutzt wird: cam at domain.tld. Jede Kamera bekommt unterschiedliche Absender wie flur at domain.tld, hof at domain.tld, etc. und alle versenden über den selben SASL-User cam at domain.tld. Die Frage ist nur, was passiert mit einer solchen Mail mal unzustellbar ist? Diese wird dann nämlich zurück kommen und da kein Postfach existiert vernichtet. Nicht schön oder egal? Wie handhabt ihr das? Bei der Untersuchung stellte ich noch fest, dass ein Paar User sogar E-Mail-Adressen an Domains, die wir gar nicht verwalten, als Absender angegeben haben. Das heißt, evtl. Retouren gehen sogar an Fremdsysteme. Ist das so üblich oder sollte man damit was machen? -- LG Andre From Daniel at Mail24.vip Fri Sep 6 18:56:06 2024 From: Daniel at Mail24.vip (Daniel) Date: Fri, 6 Sep 2024 18:56:06 +0200 Subject: AW: Absender-Adresse & SASL In-Reply-To: References: Message-ID: <004301db007d$aa4cbf30$fee63d90$@Mail24.vip> Moin, Jedem Nutzer kann man mehrere Adressen zuweisen, daher sollten User angeben welche Adressen benötigt werden, alles andere wird blockiert. Man möchte ja nicht, dass User A mit User B sendet, oder gar mit fremden Domains außerhalb der eigenen Kontrolle. Würde da knallhart ganze beschränken, sonst bist ja quasi halb offenes Relay. Zudem muss jede Kamer eigene Adresse haben? Absendername kann ja entsprechend anders sein, oder im Betreff kann User nen Standort angeben lassen. Also da sollte es genug Optionen geben, als da alles durchzuwinken. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From nico.funke at spun-industries.de Fri Sep 6 21:07:47 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 6 Sep 2024 21:07:47 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Message-ID: Hi Andre, hat leider nicht funktioniert. Seltsamerweise auch keine andere Fehlermeldung. Ich denke ich habe irgendwo anders einen Fehler. Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, damit ich hier besser Daten liefern kann? Oder bleibt nur copy&paste? Best, Am 06.09.24 um 17:30 schrieb Andre via Postfixbuch-users: > > Hi, > > versuche mal das hier: > > ssl_require_crl = no > ssl_verify_client_cert = no > > -- > LG > Andre > Am 06.09.24 um 08:47 schrieb Nico Funke via Postfixbuch-users: >> >> Hallo, >> >> sry das ich euch nochmal nerven muss. >> >> Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die >> Mailbox verbinden. >> >> Log: >> dovecot[3153232]: imap-login: Disconnected: Connection closed: >> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad >> certificate: SSL alert number 42 (no auth attempts in 0 secs): >> user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: >> error:0A000412:SSL routines::sslv3 alert bad certificate: SSL >> alert number 42, session= >> >> Ich habe einiges getestet und mich belesen, es handelt sich >> offensichtlich um ein SNI Problem; >> >> openssl s_client -connect ergibt: Can't use SSL_get_servername >> >> Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: >> >> local_name imap.example.org { >> ssl_cert = > ssl_key = > } >> >> Jedoch ändert sich nichts. Auch erhalte ich keine andere / neue >> Errormeldung. >> Das ist jetzt ein wenig verwirrend. >> >> >> Hat zufällig jemand eine Idee, wo der Fehler liegt? >> >> Best, >> -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From klaus at tachtler.net Fri Sep 6 21:18:46 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 6 Sep 2024 21:18:46 +0200 (GMT+02:00) Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Message-ID: <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> Hallo Nico, was ist das für ein Zertifikat? Ist das Root-Zertifikat dem Thunderbird und auch dem Dovecot bekannt? Siehe auch: >> >> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 https://softwareprocess.es/homepage/posts/dovecot-thunderbird-ssl-alert-number-42/ Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Nico Funke via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Nico Funke Datum: 06.09.2024 21:08:12 Betreff: Re: dovecot: imap-login // SSL_get_servername > Hi Andre, > > hat leider nicht funktioniert. > > Seltsamerweise auch keine andere Fehlermeldung. > Ich denke ich habe irgendwo anders einen Fehler. > > Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, damit ich hier besser Daten liefern kann? > Oder bleibt nur copy&paste? > > > Best, > > Am 06.09.24 um 17:30 schrieb Andre via Postfixbuch-users: >> >> Hi, >> >> versuche mal das hier: >> >> ssl_require_crl = no >> ssl_verify_client_cert = no >> >> -- >> LG >> Andre >> Am 06.09.24 um 08:47 schrieb Nico Funke via Postfixbuch-users: >>> Hallo, >>> >>> sry das ich euch nochmal nerven muss. >>> >>> Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die Mailbox verbinden. >>> >>> Log: >>> dovecot[3153232]: imap-login: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session= >>> >>> Ich habe einiges getestet und mich belesen, es handelt sich offensichtlich um ein SNI Problem; >>> >>> openssl s_client -connect ergibt: Can't use SSL_get_servername >>> >>> Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: >>> >>> local_name imap.example.org { >>> ssl_cert = >> ssl_key = >> } >>> >>> Jedoch ändert sich nichts. Auch erhalte ich keine andere / neue Errormeldung. >>> Das ist jetzt ein wenig verwirrend. >>> >>> >>> Hat zufällig jemand eine Idee, wo der Fehler liegt? >>> >>> Best, > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From nico.funke at spun-industries.de Fri Sep 6 23:15:47 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 6 Sep 2024 23:15:47 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> Message-ID: <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Hi Klaus, das ist ein Zertifikat von DigiCert (gekauft). Das welches ich auch für andere Dienste nutze. Dem Webserver zum Beispiel. Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im Dovecot keine Errormeldung hierzu. Danke für den Link, auf diese Seite bin ich auch gestoßen. Ich habe dort jedoch nichts raus lesen können, was ich falsch habe. Best, Am 06.09.24 um 21:18 schrieb Klaus Tachtler via Postfixbuch-users: > Hallo Nico, > > was ist das für ein Zertifikat? > > Ist das Root-Zertifikat dem Thunderbird und auch dem Dovecot bekannt? > > Siehe auch: > >>> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number > 42 > > https://softwareprocess.es/homepage/posts/dovecot-thunderbird-ssl-alert-number-42/ > > > Grüße > Klaus. > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From klaus at tachtler.net Sat Sep 7 07:02:01 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Sat, 7 Sep 2024 07:02:01 +0200 (GMT+02:00) Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Message-ID: <7b4b3a75-63ff-44d7-9a5f-c2e06a008636@tachtler.net> Hallo Nico, scheinbar erkennt Thunderbird zumindest, Dein Zertifikat nicht als gültig an, wenn man die Fehlermeldungen so liest. Du benötigst im Thunderbird die sog. Chain of Trust. D.h. Dein Zertifikat ist von Digicert, die haben sog. Root und ggf. Intermediate Zertifikate, so dass dies eine Kette ergibt, welche der Thunderbird dann vertraut. Das habe ich auf die Schnelle mal dazu gefunden, für Dich: https://www.keyfactor.com/de/blog/certificate-chain-of-trust/ Du solltest also als erstes mal überprüfen, ob Dein Thunderbird die Root und die Intermediate Zertifikate für Digicert hat bzw. diesen vertraut. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Nico Funke via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Nico Funke Datum: 06.09.2024 23:16:10 Betreff: Re: dovecot: imap-login // SSL_get_servername > Hi Klaus, > > das ist ein Zertifikat von DigiCert (gekauft). > > Das welches ich auch für andere Dienste nutze. Dem Webserver zum Beispiel. > > Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im Dovecot keine Errormeldung hierzu. > > Danke für den Link, auf diese Seite bin ich auch gestoßen. > Ich habe dort jedoch nichts raus lesen können, was ich falsch habe. > > > Best, > > Am 06.09.24 um 21:18 schrieb Klaus Tachtler via Postfixbuch-users: >> Hallo Nico, >> >> was ist das für ein Zertifikat? >> >> Ist das Root-Zertifikat dem Thunderbird und auch dem Dovecot bekannt? >> >> Siehe auch: >> >>>> >>>> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number >> 42 >> >> https://softwareprocess.es/homepage/posts/dovecot-thunderbird-ssl-alert-number-42/ >> >> >> Grüße >> Klaus. >> > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From ml at irmawi.de Sat Sep 7 10:17:22 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 10:17:22 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Message-ID: <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Hallo Nico, On 06.09.24 21:07, Nico Funke via Postfixbuch-users wrote: > Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, damit > ich hier besser Daten liefern kann? > Oder bleibt nur copy&paste? schicke mal bitte die Ausgabe von: doveconf -n Viele Grüße Markus From technoworx at gmx.de Sat Sep 7 10:21:44 2024 From: technoworx at gmx.de (Alexander Stoll) Date: Sat, 7 Sep 2024 10:21:44 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Message-ID: Am 06.09.2024 um 23:15 schrieb Nico Funke via Postfixbuch-users: > Hi Klaus, > > das ist ein Zertifikat von DigiCert (gekauft). > > Das welches ich auch für andere Dienste nutze. Dem Webserver zum > Beispiel. > > Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im > Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im > Dovecot keine Errormeldung hierzu. > > Danke für den Link, auf diese Seite bin ich auch gestoßen. > Ich habe dort jedoch nichts raus lesen können, was ich falsch habe. In ganz komprimierter Form: - Thunderbird lässt nicht mehr wie früher triviale Ausnahmen für self signed certs und Zertifikate, die nicht über eine trusted CA im Client verfügen zu, früher kam eine Dialogbox, mit der man eine Ausnahme bestätigen konnte... nun ist die Welt halt viel "sicherer"... - das vom Server präsentierte Cert muss von einer trusted CA stammen, kann man auch selbst generieren und einpflegen -> Aufwand - der Hostname für den IMAP-Server muss EXAKT dem im Server Cert entsprechen (wenn also Cert www.xxxxxx.de lautet und im Thunderbird imap.xxxxxx.de konfiguriert ist -> Fehler) - die Furchtlosen editieren direkt das config file im TB Profil um das alte Verhalten herzustellen. From ml at irmawi.de Sat Sep 7 10:26:46 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 10:26:46 +0200 Subject: Absender-Adresse & SASL In-Reply-To: References: Message-ID: <0b4eca9c-81e4-4f57-9883-41fe999f66ac@irmawi.de> Hallo Andre, On 06.09.24 18:30, Andre via Postfixbuch-users wrote: > Jede Kamera bekommt unterschiedliche Absender wie flur at domain.tld, > hof at domain.tld, etc. und alle versenden über den selben SASL-User > cam at domain.tld. > > Die Frage ist nur, was passiert mit einer solchen Mail mal unzustellbar ist? > > Diese wird dann nämlich zurück kommen und da kein Postfach existiert > vernichtet. Nicht schön oder egal? letztgenannte Frage kannst Du nur selbst beantworten. ;-) Ich selber würde diese alternativen Absenderadressen einfach als Aliases auf das Postfach packen, mit dem die Authentifizierung fürs Senden erfolgt. Damit landen die Bounces auch genau an der Stelle, die sich letztlich darum kümmern muss, wenn die Mails nicht ankommen. Keep it simple, und Du selbst hast keinen Stress damit. ;-) > Bei der Untersuchung stellte ich noch fest, dass ein Paar User sogar E- > Mail-Adressen an Domains, die wir gar nicht verwalten, als Absender > angegeben haben. > > Das heißt, evtl. Retouren gehen sogar an Fremdsysteme. > > Ist das so üblich oder sollte man damit was machen? So weit ich Deine Konstellation beurteilen kann: Das ist so _gar nicht_ üblich und sollte man tunlichst vermeiden. Viele Grüße Markus From ml at irmawi.de Sat Sep 7 10:45:42 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 10:45:42 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Message-ID: <6310a1da-4187-413c-ba46-670ce7906dca@irmawi.de> On 07.09.24 10:21, Alexander Stoll via Postfixbuch-users wrote: > Am 06.09.2024 um 23:15 schrieb Nico Funke via Postfixbuch-users: >> >> das ist ein Zertifikat von DigiCert (gekauft). >> >> Das welches ich auch für andere Dienste nutze. Dem Webserver zum >> Beispiel. >> >> Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im >> Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im >> Dovecot keine Errormeldung hierzu. @Nico: Ich kenne zwar Deine Config noch nicht genauer, aber ich vermute, dass bei: ssl_cert = In ganz komprimierter Form: > > - Thunderbird lässt nicht mehr wie früher triviale Ausnahmen für self > signed certs und Zertifikate, die nicht über eine trusted CA im Client > verfügen zu, früher kam eine Dialogbox, mit der man eine Ausnahme > bestätigen konnte... nun ist die Welt halt viel "sicherer"... > > - das vom Server präsentierte Cert muss von einer trusted CA stammen, kann > man auch selbst generieren und einpflegen -> Aufwand [...] IMHO alles unnötig: Nico hat ein offizielles Cert, dieses aber nicht korrekt in Dovecot eingebunden, würde ich bisher mal vermuten. > - der Hostname für den IMAP-Server muss EXAKT dem im Server Cert > entsprechen (wenn also Cert www.xxxxxx.de lautet und im Thunderbird > imap.xxxxxx.de konfiguriert ist -> Fehler) Genau und s. o.: Das ist eine mögliche Ursache. Durch den verschleierten Domainname lässt sich das aber für uns als Liste ja nicht beurteilen. Viele Grüße Markus From nico.funke at spun-industries.de Sat Sep 7 11:03:25 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sat, 7 Sep 2024 11:03:25 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Message-ID: Hallo zusammen, Änderungen am Thunderbird sind doch auch keine Lösung. Das muss von allein funktionieren. Ich bin mir fast sicher, dass noch ein Verweis im Dovecot zu einem Zertifikat benötigt. Nur ein .pem habe ich nicht. Nur .cert, .key und .cabundle Wo könnte das cabundle hinterlegt werden? Ich denke, dies löst das Issue. doveconf -n # 2.3.19.1 (9b53102964): /etc/dovecot/dovecot.conf # Pigeonhole version 0.5.19 (4eae2f79) # OS: Linux 6.1.0-23-amd64 x86_64 Debian 12.6 ext4 # Hostname: hostname disable_plaintext_auth = no mail_location = maildir:/srv/vmail mail_privileged_group = mail managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext namespace inbox { inbox = yes location = mailbox Drafts { special_use = \Drafts } mailbox Junk { special_use = \Junk } mailbox Sent { special_use = \Sent } mailbox "Sent Messages" { special_use = \Sent } mailbox Trash { special_use = \Trash } prefix = INBOX/ separator = / } passdb { driver = pam } passdb { args = scheme=CRYPT username_format=%u /etc/dovecot/users driver = passwd-file } plugin { sieve = file:~/sieve;active=~/.dovecot.sieve } protocols = " imap lmtp sieve pop3" service auth { unix_listener /var/spool/postfix/private/auth { mode = 0666 } } service imap-login { inet_listener imaps { port = 993 ssl = yes } } service lmtp { inet_listener lmtp { port = 24 } } service submission-login { inet_listener submission { port = 587 } } ssl = required ssl_cert = Hallo Nico, > > On 06.09.24 21:07, Nico Funke via Postfixbuch-users wrote: >> Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, >> damit >> ich hier besser Daten liefern kann? >> Oder bleibt nur copy&paste? > > schicke mal bitte die Ausgabe von: > > doveconf -n > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ml at irmawi.de Sat Sep 7 11:19:32 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 11:19:32 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Message-ID: Hallo Nico, danke für den Output von doveconf. Ich schaue mir das noch genauer an, falls das mit dem Cert unten nicht schon die Lösung ist. On 07.09.24 11:03, Nico Funke via Postfixbuch-users wrote: > > Änderungen am Thunderbird sind doch auch keine Lösung. > > Das muss von allein funktionieren. Richtig. ;-) > Nur ein .pem habe ich nicht. > Nur .cert, .key und .cabundle Dann hast du doch alles, was Du brauchst. > Wo könnte das cabundle hinterlegt werden? cat certificate.crt digicert.cabundle > /etc/ssl/folder/foo.pem (Den Dateiname des CA-Bundles habe ich natürlich nur geraten). ssl_cert = Ich denke, dies löst das Issue. Wie schon geschrieben: Das denke ich auch (unter der Voraussetzung, dass der Servername, den Du bei Thunderbird verwendest, im Cert als SAN enthalten ist). Viele Grüße Markus From nico.funke at spun-industries.de Sat Sep 7 17:45:23 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sat, 7 Sep 2024 17:45:23 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

Message-ID: <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> Hi Markus, vielen Dank für Deine Mühe. Ich habe mit dem Befehl, dass .pem generiert und hinterlegt. Dann habe ich mit und ohne der Option "local_name" das ganze getestet. Hat leider nicht funktioniert. Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name) was du angesprochen hast geschaut. Es ist die die entsprechende Domain und noch die www Version vorhanden. Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht unter "ssl_ca" hinterlegen sollte? Best, Am 07.09.24 um 11:19 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > danke für den Output von doveconf. Ich schaue mir das noch genauer an, > falls das mit dem Cert unten nicht schon die Lösung ist. > > On 07.09.24 11:03, Nico Funke via Postfixbuch-users wrote: >> >> Änderungen am Thunderbird sind doch auch keine Lösung. >> >> Das muss von allein funktionieren. > > Richtig. ;-) > >> Nur ein .pem habe ich nicht. >> Nur .cert, .key und .cabundle > > Dann hast du doch alles, was Du brauchst. > >> Wo könnte das cabundle hinterlegt werden? > > cat certificate.crt digicert.cabundle > /etc/ssl/folder/foo.pem > > (Den Dateiname des CA-Bundles habe ich natürlich nur geraten). > > ssl_cert = > >> Ich denke, dies löst das Issue. > > Wie schon geschrieben: Das denke ich auch (unter der Voraussetzung, > dass der Servername, den Du bei Thunderbird verwendest, im Cert als > SAN enthalten ist). > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ad+lists at uni-x.org Sat Sep 7 17:59:19 2024 From: ad+lists at uni-x.org (Alexander Dallou) Date: Sat, 7 Sep 2024 17:59:19 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

<17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> Message-ID: <7e3f0762-4dbf-4288-98f4-80e75ecb8284@uni-x.org> Am 07.09.2024 um 17:45 schrieb Nico Funke via Postfixbuch-users: > Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht > unter "ssl_ca" hinterlegen sollte? Da Du selber keine eigene CA betreibst und nicht alle Digicert signierten Zertifikate als für Dein Dovecot valide erklären willst, kommt Dein Server- samt Intermediate Zertifikat dort nicht rein. Prüfe Dein Dovecot SSL Setup per echo QUIT | openssl s_client -connect mail.domain.tld:993 Die Ausgabe beginnt mit Darstellung der Trust of Chain. Anhand derer kannst Du ablesen, ob Server- und Intermediate Zertifkat(e) von Dovecot ausgeliefert werden. Die Root CA muss im Client Trust Store integriert sein. Alexander From Peer-Joachim.Koch at leibniz-hki.de Sat Sep 7 17:59:43 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Sat, 07 Sep 2024 17:59:43 +0200 Subject: Antw: Re: dovecot: imap-login // SSL_get_servername (Out of office (05.09.-> 27.09.]) In-Reply-To: References: <09C88EFA02000003257646A2@weida.hki-jena.de> <878B6B1B02000012257646A2@weida.hki-jena.de> <306134EC020000A3257646A2@weida.hki-jena.de> <66EEBAF4020000F0257646A2@weida.hki-jena.de> Message-ID: <66DC786F020000E90009C988@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From ad+lists at uni-x.org Sat Sep 7 18:02:55 2024 From: ad+lists at uni-x.org (Alexander Dallou) Date: Sat, 7 Sep 2024 18:02:55 +0200 Subject: Antw: Re: dovecot: imap-login // SSL_get_servername (Out of office (05.09.-> 27.09.]) In-Reply-To: <66DC786F020000E90009C988@weida.hki-jena.de> References: <09C88EFA02000003257646A2@weida.hki-jena.de> <878B6B1B02000012257646A2@weida.hki-jena.de> <306134EC020000A3257646A2@weida.hki-jena.de> <66EEBAF4020000F0257646A2@weida.hki-jena.de> <66DC786F020000E90009C988@weida.hki-jena.de> Message-ID: Ist es eines Postmasters würdig, eine Out-of-Office Funktion zu aktivieren, die Mailinglisten-Mails nicht beantwortet? Am 07.09.2024 um 17:59 schrieb Peer-Joachim Koch via Postfixbuch-users: > I am traveling with very limited access to my email. > Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. > > For urgent messages send an email to > Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. > > Kind regards, > Peer-Joachim Koch From ml at irmawi.de Sat Sep 7 18:09:01 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 18:09:01 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

<17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> Message-ID: <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> Hallo Nico, On 07.09.24 17:45, Nico Funke via Postfixbuch-users wrote: > > Ich habe mit dem Befehl, dass .pem generiert und hinterlegt. > > Dann habe ich mit und ohne der Option "local_name" das ganze getestet. > Hat leider nicht funktioniert. local_name benötigst Du nur dann, wenn Du mehrere SSL-Certs auf derselben IP-Adresse nutzen willst. > Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name) > was du angesprochen hast geschaut. > Es ist die die entsprechende Domain und noch die www Version vorhanden. Schade, dass Du sie leider nicht nennen magst ... Hast Du denn mit openssl s_client ... mal getestet, ob nun die komplette Cert-Chain angezeigt wird? Und ebenfalls entscheidend ist: Was trägst Du denn als Servername bei Deinem Thunderbird ein? Diesen Punkt hatte ich ja vorhin schon als mögliche Fehlerquelle angesprochen. Da rätseln "wir" aber weiterhin herum. > Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht unter > "ssl_ca" hinterlegen sollte? Ja, da bin ich mir sicher. ;-) https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates Viele Grüße Markus From nico.funke at spun-industries.de Sun Sep 8 00:28:27 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sun, 8 Sep 2024 00:28:27 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

<17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> Message-ID: <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> Hi Markus, ich schreib dir mal so damit der Kreis etwas kleiner ist. Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll, nur soll die Konfiguration so weit wie möglich unbekannt bleiben. Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man weiß ja nie. Auch leider nie wer still mitliest. Ich hoffe ich nerve dich jetzt nicht zu sehr. Das ist die Ausgabe: echo QUIT | openssl s_client -connect mail.anarchydica.net:993 CONNECTED(00000003) depth=0 CN = anarchydica.net verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 CN = anarchydica.net verify error:num=21:unable to verify the first certificate verify return:1 depth=0 CN = anarchydica.net verify return:1 --- Certificate chain 0 s:CN = anarchydica.net i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27 23:59:59 2025 GMT --- Server certificate -----BEGIN CERTIFICATE----- MIIGJzCCBQ+gAwIBAgIQBklP6vPUhUt+tmcHSxIxczANBgkqhkiG9w0BAQsFADBe MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3 d3cuZGlnaWNlcnQuY29tMR0wGwYDVQQDExRUaGF3dGUgVExTIFJTQSBDQSBHMTAe Fw0yNDA2MjgwMDAwMDBaFw0yNTA2MjcyMzU5NTlaMBoxGDAWBgNVBAMTD2FuYXJj aHlkaWNhLm5ldDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKzX9Q6n wLz5UkF14D/NlcokKgMTQPt/qOz//VZbH5AFZiMajyWCpzA8UJzQUVEqlATICUzN /DQLHEKeoSi1vPG50FzXC6z/TvKhfrGRKYUSCWqvDsoZR8sTbBBA+HSA0LWNXa3S +ZH7qaIb2Gkc1HamIDksp4o69G1mKuhmaQzbEIyAurj6oi8KYPxXWcLvsBIzlthh ap+nDidCOswffEd4TwEbiMimi2ZP8MsN7vnv75Vn79RcqLlmuTeZvuxQNOjgVLzK AvCmFfmmly7rjKjSMKQVXN7Xdwxty1tdCgGxWSRtrRMDrFxOgjKjKhBKYS7D18m4 dA8Q/GtR/zMcomkCAwEAAaOCAyMwggMfMB8GA1UdIwQYMBaAFKWM/jLM6w8s1BnG CLgAJIhdw8W3MB0GA1UdDgQWBBR5zPd/EhSmoS9MSFO7CpzsEU94ZDAvBgNVHREE KDAmgg9hbmFyY2h5ZGljYS5uZXSCE3d3dy5hbmFyY2h5ZGljYS5uZXQwPgYDVR0g BDcwNTAzBgZngQwBAgEwKTAnBggrBgEFBQcCARYbaHR0cDovL3d3dy5kaWdpY2Vy dC5jb20vQ1BTMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYI KwYBBQUHAwIwOwYDVR0fBDQwMjAwoC6gLIYqaHR0cDovL2NkcC50aGF3dGUuY29t L1RoYXd0ZVRMU1JTQUNBRzEuY3JsMHAGCCsGAQUFBwEBBGQwYjAkBggrBgEFBQcw AYYYaHR0cDovL3N0YXR1cy50aGF3dGUuY29tMDoGCCsGAQUFBzAChi5odHRwOi8v Y2FjZXJ0cy50aGF3dGUuY29tL1RoYXd0ZVRMU1JTQUNBRzEuY3J0MAwGA1UdEwEB /wQCMAAwggF+BgorBgEEAdZ5AgQCBIIBbgSCAWoBaAB2AE51oydcmhDDOFts1N8/ Uusd8OCOG41pwLH6ZLFimjnfAAABkF9iz/oAAAQDAEcwRQIhAK3GRgFaXBK9NJa9 112AID9tqa/JfcT4Hj8+uHMbidhzAiAeVeZd/wWx0nD3AaGm9iC7n0/3sXlkxFv4 ctn//KL9vQB2AH1ZHhLheCp7HGFnfF79+NCHXBSgTpWeuQMv2Q6MLnm4AAABkF9i z3MAAAQDAEcwRQIhAJRESddZ9cAEk3ku5g+YR7g3WKye/6BJcqQtbO7G+l82AiAl wOT7dCK1iaHDzmHnWmJKEhO1j88qrRMeObsi+hoBfAB2AObSMWNAd4zBEEEG13G5 zsHSQPaWhIb7uocyHf0eN45QAAABkF9iz4IAAAQDAEcwRQIgYT43kMt6/E3R37e8 E6S4+gpo1ImNtsvw9cI1M/Vr5xkCIQDR2oBwHIwShKuBvwUAELWnd4FoBCu7IJo/ eNoXNupmNDANBgkqhkiG9w0BAQsFAAOCAQEAXMpzMW1y4uUfIRaGrY3unpuXngjs TNzkuq51Qh6ORXoHSNRqjh2BycbrI1SNH7Iqdg0/27U+yTtc0JtY8l9D9Zin+cCg SFdHCUo+apqYb9fF8NoYj/n98SikXposmlYX61qhRrfcUU87u7AxzuZVxD4lxliH O4jZdmngaYlLPUwfaFQhoht3cPSchX8tTGUR8apcTPXmgKcptXI3VIhBM8fmtXUA VzIpRK8ghzWz34v6kiaYUMjKTfATAGCYMPCvbpFuRipUnFPpuWYqiYFvd4guF3o6 4S3WYPx5xyW+EEPTjEuCmuFvgsX8Oo0MXL8qMgCpcmU2L8cvGtao+ml22g== -----END CERTIFICATE----- subject=CN = anarchydica.net issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 --- No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: RSA-PSS Server Temp Key: X25519, 253 bits --- SSL handshake has read 2139 bytes and written 406 bytes Verification error: unable to verify the first certificate --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 2048 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 21 (unable to verify the first certificate) --- DONE Best, Am 07.09.24 um 18:09 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > On 07.09.24 17:45, Nico Funke via Postfixbuch-users wrote: >> >> Ich habe mit dem Befehl, dass .pem generiert und hinterlegt. >> >> Dann habe ich mit und ohne der Option "local_name" das ganze >> getestet. >> Hat leider nicht funktioniert. > > local_name benötigst Du nur dann, wenn Du mehrere SSL-Certs auf > derselben IP-Adresse nutzen willst. > >> Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name) >> was du angesprochen hast geschaut. >> Es ist die die entsprechende Domain und noch die www Version >> vorhanden. > > Schade, dass Du sie leider nicht nennen magst ... > > Hast Du denn mit openssl s_client ... mal getestet, ob nun die > komplette Cert-Chain angezeigt wird? > > Und ebenfalls entscheidend ist: Was trägst Du denn als Servername bei > Deinem Thunderbird ein? Diesen Punkt hatte ich ja vorhin schon als > mögliche Fehlerquelle angesprochen. Da rätseln "wir" aber weiterhin > herum. > >> Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht >> unter >> "ssl_ca" hinterlegen sollte? > > Ja, da bin ich mir sicher. ;-) > > https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates > > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ad+lists at uni-x.org Sun Sep 8 02:35:42 2024 From: ad+lists at uni-x.org (Alexander Dallou) Date: Sun, 8 Sep 2024 02:35:42 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

<17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> Message-ID: <5299495d-65a1-4159-be3f-8bfd623a17af@uni-x.org> Am 08.09.2024 um 00:28 schrieb Nico Funke via Postfixbuch-users: > Das ist die Ausgabe: > echo QUIT | openssl s_client -connect mail.anarchydica.net:993 > > CONNECTED(00000003) > depth=0 CN = anarchydica.net > verify error:num=20:unable to get local issuer certificate > verify return:1 > depth=0 CN = anarchydica.net > verify error:num=21:unable to verify the first certificate > verify return:1 > depth=0 CN = anarchydica.net > verify return:1 > --- > Certificate chain > 0 s:CN = anarchydica.net > i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte > TLS RSA CA G1 > a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 > v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27 23:59:59 > 2025 GMT 1. Das Server Zertifikat ist auf anarchydica.net ausgestellt, nicht mail.anarchydica.net. Der MX Record zeigt auf mail.anarchydica.net, ergo wirst Du mit dem Zertifikat keine Freude haben. 2. Ausgestellt wurde das Server Zertifikat von der SubCA "Thawte TLS RSA CA G1". Siehe https://www.digicert.com/kb/digicert-root-certificates.htm. Du lieferst diese SubCA aber serverseitig nicht zusammen mit dem Serverzertifikat aus. Also scheitert die Validierung der Chain of Trust. Alexander From ml at irmawi.de Sun Sep 8 11:47:13 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 8 Sep 2024 11:47:13 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

<17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> Message-ID: <2568ef3c-014c-450f-892c-59dce9150056@irmawi.de> Hallo Nico, On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote: > > ich schreib dir mal so damit der Kreis etwas kleiner ist. da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste geschickt hattest, antworte ich Dir auch mal hier. ;-) > Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll, > nur soll die Konfiguration so weit wie möglich unbekannt bleiben. > Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man weiß > ja nie. Auch leider nie wer still mitliest. Deine Infos sind völlig unkritisch. Die Kiste steht frei zugänglich im Netz. Wenn da jemand was im Schilde führen sollte, benötigt er die paar Details hier nicht. ;-) > echo QUIT | openssl s_client -connect mail.anarchydica.net:993 > CONNECTED(00000003) > depth=0 CN = anarchydica.net > verify error:num=20:unable to get local issuer certificate > verify return:1 > depth=0 CN = anarchydica.net > verify error:num=21:unable to verify the first certificate > verify return:1 > depth=0 CN = anarchydica.net > verify return:1 Wie Alexander schon schrieb: Dein Server schickt nach wie vor das Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das Server-Cert nicht verifizieren. Möglicherweise hast Du beim Erstellen der Datei /etc/ssl/folder/foo.pem etwas falsch gemacht oder die cabundle-Datei ist nicht korrekt (was ich mir aber fast nicht vorstellen kann). Ich habe Dir mal die Datei für Dovecot erstellt und angehängt. Binde die bitte so ein (den Dateiname kannst Du natürlich anpassen): ssl_cert = From nico.funke at spun-industries.de Sun Sep 8 22:29:06 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sun, 8 Sep 2024 22:29:06 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <2568ef3c-014c-450f-892c-59dce9150056@irmawi.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de>

<17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> <2568ef3c-014c-450f-892c-59dce9150056@irmawi.de> Message-ID: Hallo zusammen, ich danke euch vielmals für eure Hilfe. In meiner .pem Version waren die Key's doppelt hinterlegt. Deine hat funktioniert, Markus. Jedoch jetzt sofort ein Disconnect. Wie dem auch sei, das Zertifikat ist in Eile entstanden, wobei ich nicht den Punkt mit dem zusätzlichen SNA nicht beachtet habe. Ich werde mir Zeit nehmen und ein neues organisieren welches entsprechende Voraussetzungen hat und mir das mit Ruhe ansehen. Ich kann mich nur bedanken, dass ihr euch die Mühe gemacht habt, mir bei meiner Unwissenheit zu helfen. Und sry für die Anonymisierung. Ich wollte es einfach so Anonym wie möglich halten. Hat jedoch definitiv nichts mit euch zu tun. Danke nochmals. Best, Am 08.09.24 um 11:47 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote: >> >> ich schreib dir mal so damit der Kreis etwas kleiner ist. > > da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste geschickt > hattest, antworte ich Dir auch mal hier. ;-) > >> Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll, >> nur soll die Konfiguration so weit wie möglich unbekannt bleiben. >> Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man >> weiß >> ja nie. Auch leider nie wer still mitliest. > > Deine Infos sind völlig unkritisch. Die Kiste steht frei zugänglich im > Netz. Wenn da jemand was im Schilde führen sollte, benötigt er die > paar Details hier nicht. ;-) > >> echo QUIT | openssl s_client -connect mail.anarchydica.net:993 >> CONNECTED(00000003) >> depth=0 CN = anarchydica.net >> verify error:num=20:unable to get local issuer certificate >> verify return:1 >> depth=0 CN = anarchydica.net >> verify error:num=21:unable to verify the first certificate >> verify return:1 >> depth=0 CN = anarchydica.net >> verify return:1 > > Wie Alexander schon schrieb: Dein Server schickt nach wie vor das > Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das > Server-Cert nicht verifizieren. > > Möglicherweise hast Du beim Erstellen der Datei > /etc/ssl/folder/foo.pem etwas falsch gemacht oder die cabundle-Datei > ist nicht korrekt (was ich mir aber fast nicht vorstellen kann). > > Ich habe Dir mal die Datei für Dovecot erstellt und angehängt. Binde > die bitte so ein (den Dateiname kannst Du natürlich anpassen): > > ssl_cert = > > Aber auch der zweite, schon mehrfach angesprochene Punkt ist wichtig: > Du hattest den openssl-Test mit 'mail.anarchydica.net' ausgeführt. Da > das Cert diesen Hostname nicht als SAN enthält, wird Thunderbird auch > an dieser Stelle meckern (selbst wenn die Chain jetzt komplett ist). > > Du hast zwei Möglichkeiten, dieses Problem zu lösen: > > (1) Trage als Servername in Thunderbird statt 'mail.anarchydica.net' > nun 'anarchydica.net' ein. > > 'www.anarchydica.net' steht zwar ebenfalls als SAN im Cert und wäre > damit theoretisch auch möglich, aber: > > $ host www.anarchydica.net > Host www.anarchydica.net not found: 3(NXDOMAIN) > > > (2) Besorge Dir ein Zertifikat (von LE wäre es ja sogar kostenlos), > bei dem (u. a.) 'mail.anarchydica.net' als SAN enthalten ist. Dann, > und nur dann, kannst Du in Thunderbird 'mail.anarchydica.net' als > Servername verwenden. > > (Nebenbei: Da Du als MX für diese Domain 'mail.anarchydica.net' > eingetragen hast, wäre (2) vielleicht der elegantere Weg, da Du es > dann auch für Postfix nutzen kannst und auch dort gleich alles passen > sollte.) > > Viele Grüße > Markus -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From usenet at schani.com Tue Sep 10 19:32:29 2024 From: usenet at schani.com (christian) Date: Tue, 10 Sep 2024 19:32:29 +0200 Subject: bounce "Sender address rejected: not owned by user" Message-ID: <002fcb63-de16-42c6-855b-6967622eb276@schani.com> Hallo, ich hab grad was komisches. Ein PHP Script verwendet eine alte Swift Mail Version zum senden von Emails. Jetzt sollte dies um eine Bounce Funktion erweitert werden. Emails gehen raus über info at domain.com Und falls Sie nicht zugestellt werden wird per Swift Mail noch eine bounce at domain.com mitgegeben ($message->setReturnPath('bounce at domain.com');) Swiftmail liefert an Postfix - Postfix versucht zuzustellen - Bekommt Meldung: : Sender address rejected: not owned by user info at domain.com Woran kann das liegen? Könnt Ihr mir einen Tipp geben? Danke Christian From list+postfixbuch at gcore.biz Tue Sep 10 22:05:32 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Tue, 10 Sep 2024 22:05:32 +0200 Subject: bounce "Sender address rejected: not owned by user" In-Reply-To: <002fcb63-de16-42c6-855b-6967622eb276@schani.com> References: <002fcb63-de16-42c6-855b-6967622eb276@schani.com> Message-ID: <0BB84465-D132-4C07-B657-40822B85240A@gcore.biz> > Ein PHP Script verwendet eine alte Swift Mail Version zum senden von Emails. > Jetzt sollte dies um eine Bounce Funktion erweitert werden. > > Emails gehen raus über info at domain.com > Und falls Sie nicht zugestellt werden wird per Swift Mail noch eine bounce at domain.com mitgegeben ($message->setReturnPath('bounce at domain.com');) > > Swiftmail liefert an Postfix - Postfix versucht zuzustellen - Bekommt Meldung: > > : Sender address rejected: not owned by user info at domain.com > > Woran kann das liegen? https://www.postfix.org/postconf.5.html#reject_sender_login_mismatch https://www.postfix.org/postconf.5.html#smtpd_sender_login_maps Viele Grüße Gerald From Peer-Joachim.Koch at leibniz-hki.de Tue Sep 10 22:06:14 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Tue, 10 Sep 2024 22:06:14 +0200 Subject: Antw: Re: bounce "Sender address rejected: not owned by user" (Out of office (05.09.-> 27.09.]) In-Reply-To: <0F3989960200003C9A81E8E0@weida.hki-jena.de> References: <2E799AFE020000F44BFCCB17@weida.hki-jena.de> <0F3989960200003C9A81E8E0@weida.hki-jena.de> Message-ID: <66E0A6B6020000E90009D00C@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From list+postfixbuch at gcore.biz Tue Sep 10 22:46:32 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Tue, 10 Sep 2024 22:46:32 +0200 Subject: =?utf-8?Q?Re=3A_Frage_zur_=C3=9Cbertragungsbest=C3=A4tigung_?= =?utf-8?Q?=C3=BCber_Relay?= In-Reply-To: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> References: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> Message-ID: <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> > sollte man wenn man ein Relay nutzt, diesen whitelisten, damit alles was SPF, DMARC usw. angeht umgangen wird? Kannst Du machen, rspamd schaltet bei lokalen IP-Adressen auch einige Checks ab. Falls es öfters Probleme gibt, kann sich der Relay sonst intern eine schlechte Reputation erarbeiten. Allerdings hilft das nicht bei Notifies, die nach Extern verschickt werden. SPF fällt raus weil Delivery Notifications mit dem Null-Sender <> als Absender verschickt werden. Es gibt also auf SMTP-Ebene keine Maildomain, über die man via DNS Informationen wie SPF einholen könnte. Eine fehlende DKIM-Signatur muss auch nicht zwangsläufig problematisch sein, da der Absender innerhalb der Mail ("From") meist mit einer Subdomain schickt, also z.B. MAILER-DAEMON at relay.domain.de statt MAILER-DAEMON at domain.de. Bleibt noch eine DMARC-Policy die alles ablehnt, auch unsignierte Mails von Subdomains. Für den Fall könnte man die Policy für Subdomains mit sp=none anpassen: https://powerdmarc.com/de/what-is-the-dmarc-sp-subdomain-policy-tag/ Falls es rein um Delivery Notifications geht, kannst Du die Möglichkeit solche anzufordern am Relay auch abschalten: # main.cf smtpd_discard_ehlo_keywords = silent-discard, dsn Viele Grüße Gerald From Daniel at Mail24.vip Tue Sep 10 23:17:31 2024 From: Daniel at Mail24.vip (Daniel) Date: Tue, 10 Sep 2024 23:17:31 +0200 Subject: =?utf-8?Q?AW:_Frage_zur_=C3=9Cbertragungsbest=C3=A4t?= =?utf-8?Q?igung_=C3=BCber_Relay?= In-Reply-To: <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> References: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> Message-ID: <008301db03c6$d92ca030$8b85e090$@Mail24.vip> Ich bezweifle dass man bei MailboxOrg und co als Kunde sowas abschalten kann, besonders da es nicht zielführend ist, da man ja explizit die Zustellung quittiert haben möchte. ;-) Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From list+postfixbuch at gcore.biz Wed Sep 11 00:22:36 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 11 Sep 2024 00:22:36 +0200 Subject: =?utf-8?Q?Re=3A_Frage_zur_=C3=9Cbertragungsbest=C3=A4tigung_?= =?utf-8?Q?=C3=BCber_Relay?= In-Reply-To: <008301db03c6$d92ca030$8b85e090$@Mail24.vip> References: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> <008301db03c6$d92ca030$8b85e090$@Mail24.vip> Message-ID: <553059EC-B9C9-467E-A629-2D5D15B2C93C@gcore.biz> > Ich bezweifle dass man bei MailboxOrg und co als Kunde sowas abschalten kann, besonders da es nicht zielführend ist, da man ja explizit die Zustellung quittiert haben möchte. ;-) Da hast Du natürlich Recht, auch auf die DMARC-Policy von mailbox.org hast Du keinen Einfluss. Ich hab das Beispiel fälschlicherweise nur als Beispiel interpretiert, da es für mich persönlich wenig Sinn ergab den Relay einer anderen Firma zu nutzen, um dann lokal bei eigenen Mailservern dafür eine Whitelist zu führen. In dem Punkt, dass die Abschaltung von DSNs nicht zielführend ist, bin ich anderer Meinung. Es gibt Provider bei denen man das nicht via SMTP anfordern kann und die den Kunden solche Informationen aus dem Maillog übersichtlich in einem Webinterface zur Verüfgung stellen. Die Information ist also nicht verloren sondern wird nur anders bzw. gesammelt dargestellt. Nebenbei erhalten Kunden einen genaueren Einblick in den Mailflow und man verhindert dadurch, dass der Relay wegen der von Dir beschriebenen Probleme auf Blacklisten landet und an Reputation einbüßt. Wenn man die Zustellung explizit nachweisen möchte, ist der zuvor beschriebene Weg daher auch zielführend und ggf. sogar zuverlässiger als DSNs. Viele Grüße Gerald From alexander.kaltenbacher at gmail.com Wed Sep 11 10:07:09 2024 From: alexander.kaltenbacher at gmail.com (alexander.kaltenbacher at gmail.com) Date: Wed, 11 Sep 2024 10:07:09 +0200 Subject: Frage zu rate limiting Message-ID: <13a201db0421$99d7cc10$cd876430$@gmail.com> Liebe postfix-User, "isch hätt da gern mal a Problem ?" (wie der Kabarettist sagt), evtl. bin ich hier auch nicht ganz richtig. Wir haben eine etwas unübliche Mail-Konstellation: * Im ?Inneren? nutzen wir ein Exchange-System (Exchange 2019 mit DAG, etwa 7000 User-Postfächer und 400 shared Mailboxen), * Mails nach und von Außen laufen über ein Postfix-System Da wir immer wieder User haben, deren Konto gehackt wird bzw. die meinen viele Mails versenden zu müssen, haben wir auf postfix (postfwd) für eine bestimmte Mail-Gruppe ein Rate-Limit von 50 Mails/Stunde und 200 Mails/Tag eingeführt. Damit haben wir erheblich weniger Probleme mit Black-/Greylisting (außer die Microsoft-Plattformen live.de/outlook.de/outlook.com). So weit so gut, aber wenn z.B. ein User meint 151 Mails versenden zu wollen, dann gehen ja die ersten 50 Mails raus, die restlichen 101 gehen quasi an Exchange zurück. Exchange versucht aber innerhalb einer Stunde mehrfach diese 101 Mails wieder zuzustellen. Und da beginnt das Problem, denn das 50 Mails/Stunde-Limit läuft ja noch und verlängert sich wieder und das geht dann so lange, bis Exchange nach zwei Tagen aufgibt, die 101 Mails zuzustellen und ich bekomme jede halbe Stunde eine Mitteilung über ein erreichtes rate-limit. Die Firma, die uns bei unserem Postfix-System unterstützt meint, da kann man seitens postfix nichts machen und bei Exchange wird uns geraten, doch das rate-limit anzuheben ?. Wo könnte ich denn noch suchen und/oder eine Eistellung treffen? Auf Exchange habe ich so nichts gefunden (auch die Firma nicht), wo ich ?drehen? könnte. Außer, dass ich wie im obigen Beispiel die nicht zustellbaren 101 Mails lösche und dem Absender eine Nichtzustellbarkeits-Benachrichtigung zukommen lasse. Ich weiß, das ist nicht unbedingt ein reines postfix-Problem, aber vielleicht habt Ihr ein paar Hinweise. Im Voraus danke für die Hilfe und die Mühen. Viele Grüße Alexander Kaltenbacher --- Alexander Kaltenbacher Egerlandstrasse 77 85053 Ingolstadt Tel.: 0841 940 246 (priv) 0841 937 21885 (dstl) 0176 46509696 (mobil) Email: alexander.kaltenbacher at gmail.com -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From d-j.wienecke at ostfalia.de Wed Sep 11 10:28:12 2024 From: d-j.wienecke at ostfalia.de (David Wienecke) Date: Wed, 11 Sep 2024 10:28:12 +0200 Subject: Frage zu rate limiting In-Reply-To: <13a201db0421$99d7cc10$cd876430$@gmail.com> References: <13a201db0421$99d7cc10$cd876430$@gmail.com> Message-ID: Hallo Liste, Hallo Alexander, kann der postfwd nicht mit einem 500er Fehler ablehnen? Dann sollte der postfix pre-Queue ablehnen und der Exchange einen Bounce generieren und nicht noch mal zustellen. Ich meine, bei uns wöre das exakt so konfiguriert. Viele Grüße David Alexander Kaltenbacher via Postfixbuch-users schrieb am Mi, 11. Sep 10:07: > Liebe postfix-User, > > > > "isch hätt da gern mal a Problem ?" (wie der Kabarettist sagt), evtl. bin ich hier auch nicht ganz richtig. Wir haben eine etwas unübliche Mail-Konstellation: > > * Im ?Inneren? nutzen wir ein Exchange-System (Exchange 2019 mit DAG, etwa 7000 User-Postfächer und 400 shared Mailboxen), > * Mails nach und von Außen laufen über ein Postfix-System > > > > Da wir immer wieder User haben, deren Konto gehackt wird bzw. die meinen viele Mails versenden zu müssen, haben wir auf postfix (postfwd) für eine bestimmte Mail-Gruppe ein Rate-Limit von 50 Mails/Stunde und 200 Mails/Tag eingeführt. Damit haben wir erheblich weniger Probleme mit Black-/Greylisting (außer die Microsoft-Plattformen live.de/outlook.de/outlook.com). So weit so gut, aber wenn z.B. ein User meint 151 Mails versenden zu wollen, dann gehen ja die ersten 50 Mails raus, die restlichen 101 gehen quasi an Exchange zurück. Exchange versucht aber innerhalb einer Stunde mehrfach diese 101 Mails wieder zuzustellen. Und da beginnt das Problem, denn das 50 Mails/Stunde-Limit läuft ja noch und verlängert sich wieder und das geht dann so lange, bis Exchange nach zwei Tagen aufgibt, die 101 Mails zuzustellen und ich bekomme jede halbe Stunde eine Mitteilung über ein erreichtes rate-limit. Die Firma, die uns bei unserem Postfix-System unterstützt meint, da kann man seitens postfix nichts machen und bei Exchange wird uns geraten, doch das rate-limit anzuheben ?. > > > > Wo könnte ich denn noch suchen und/oder eine Eistellung treffen? Auf Exchange habe ich so nichts gefunden (auch die Firma nicht), wo ich ?drehen? könnte. Außer, dass ich wie im obigen Beispiel die nicht zustellbaren 101 Mails lösche und dem Absender eine Nichtzustellbarkeits-Benachrichtigung zukommen lasse. > > > > Ich weiß, das ist nicht unbedingt ein reines postfix-Problem, aber vielleicht habt Ihr ein paar Hinweise. -- David Johann Wienecke Rechenzentrum Ostfalia Hochschule fuer angewandte Wissenschaften - Hochschule Braunschweig/Wolfenbuettel Salzdahlumer Str. 46/48 38302 Wolfenbuettel Tel. : +49 5331 939 19270 Fax : +49 5331 939 19272 Mail : d-j.wienecke at ostfalia.de Web : http://www.ostfalia.de/rz -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5556 bytes Beschreibung: nicht verfügbar URL : From Peer-Joachim.Koch at leibniz-hki.de Wed Sep 11 10:28:33 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Wed, 11 Sep 2024 10:28:33 +0200 Subject: Antw: Re: Frage zu rate limiting (Out of office (05.09.-> 27.09.]) In-Reply-To: <9188BD590200003E5A0708AC@weida.hki-jena.de> References: <64AE45DB020000E2824A10E1@weida.hki-jena.de> <9188BD590200003E5A0708AC@weida.hki-jena.de> Message-ID: <66E154B1020000E90009D0A5@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From driessen at fblan.de Wed Sep 11 12:32:03 2024 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 11 Sep 2024 12:32:03 +0200 Subject: AW: Frage zu rate limiting In-Reply-To: <13a201db0421$99d7cc10$cd876430$@gmail.com> References: <13a201db0421$99d7cc10$cd876430$@gmail.com> Message-ID: Im Auftrag von Alexander Kaltenbacher via > Betreff: Frage zu rate limiting > > > * Im ?Inneren? nutzen wir ein Exchange-System (Exchange 2019 mit > DAG, etwa 7000 User-Postfächer und 400 shared Mailboxen), > * Mails nach und von Außen laufen über ein Postfix-System Hallo Alexander Na hab ich ein Glück das ich kein Exchange habe :-) Aber da gibt es doch sicherlich ein VBA dazu ? (ich weiß die MS Anwendern sind Kummer gewöhnt) Postfwd die Meldungen zum Überschreiten der Einfachen Limits abschalten eine Übersicht pro Tag sollte reichen um Unregelmäßigkeiten in der Richtung zu erkennen. Die Mails der eigenen User ebenfalls durch Spam und Virenerkennung. Innerhalb von Postfix kann mit verschiedenen Limits gearbeitet werden Nur eine Mail Pro "groß"anbieter transport_maps = hash:/etc/postfix/maps/transport_slow, gmail_initial_destination_concurrency = 2 gmail_destination_concurrency_limit = 3 gmail_destination_recipient_limit = 5 gmail_destination_rate_delay = 1m maps/transport_slow mail.de gmail: gmail.com gmail: web.de gmail: t-online.de gmail: master.cf gmail unix - - n - - smtp -o syslog_name=postfix-gmail -o inet_protocols=ipv4 -o inet_interfaces=14x.xxx.xxx.xxx Damit habe ich zumindest keine Probs mehr mit abgelehnten "normalen" Mails von dem Empfangsservern default_destination_concurrency_limit = 10 default_destination_recipient_limit = 20 smtpd_delay_reject = no smtpd_client_connection_count_limit = 10 smtpd_client_connection_rate_limit = 5 smtpd_recipient_limit = 30 smtpd_client_message_rate_limit = 30 smtpd_recipient_overshoot_limit = 30 default_extra_recipient_limit = 10 #smtpd_client_auth_rate_limit = 5 smtpd_client_recipient_rate_limit = 30 kann man auch mal schauen ob man an den Werten was verändert #anvil_rate_time_unit = 60s #default #anvil_status_update_time = 660m #default 600 Gehackte Konten ....... Da gab es was von Rathiofarm ----- outgoingd ----- Ich weiß nimmer ob es noch so heißt Es wird überprüft von wie viele unterschiedlichen IP-Adressen in wie viel unterschiedlichen Ländern innerhalb einer Zeitspanne X auf das Konto zugegriffen wird Es kann ja nicht sein das jemand JETZT in DE und in einer Stunde aus USA zugreift versucht sich anzumelden und dann wieder 15 min später aus dem Iran..... Wird das festgestellt wird das Konto erstmal gesperrt :-) https://roessner-network-solutions.com Christian hat das mal geproggt wenn nicht zu finden anfragen :-) Wenns hilft nehm ich mal nen daumen hoch :-))) > > Alexander Kaltenbacher > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "Wissen macht den Unterschied zu Titel, Titel kosten - Wissen verdient." "Digitalisierung löst KEINE Probleme, wer nicht Analog arbeiten kann wird es auch digital nicht können, Digitalisierung deckt gnadenlos jedes Problem auf." "wenn Digitalisierung den Aufwand zur Analogen Arbeitsweise erhöht, den Gewinn schmälert dann wird es Zeit zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung ist die Intelligente Art erforderliche Arbeit auf Kunden zu übertragen. ?" "Digitalisierung darf nicht zur Entmündigung führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steintafeln und wie alt ist das älteste elektronische Dokument?" From Peer-Joachim.Koch at leibniz-hki.de Wed Sep 11 12:42:46 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Wed, 11 Sep 2024 12:42:46 +0200 Subject: Antw: AW: Frage zu rate limiting (Out of office (05.09.-> 27.09.]) In-Reply-To: <66C318C7020000AC273CF23A@weida.hki-jena.de> References: <64AE45DB020000E2824A10E1@weida.hki-jena.de> <66C318C7020000AC273CF23A@weida.hki-jena.de> Message-ID: <66E17426020000E90009D0C4@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From ffiene at veka.com Fri Sep 13 10:04:10 2024 From: ffiene at veka.com (Frank Fiene) Date: Fri, 13 Sep 2024 08:04:10 +0000 Subject: DMARC reports Message-ID: <96F7E2D6-02F7-4CD6-9317-875AE7DA9078@veka.com> Moin! Wertet irgendjemand die DMARC Reports aus, die zurückkommen? Dafür gibt es doch bestimmt ein OpenSource-Tool, welches direkt auf eine Mailbox zugreifen kann und sich die json-Dateien zusammensuchen und in schönen Berichten zusammenfassen kann, oder? Ich habe mal zwei Postfächer für rua und ruf angelegt, wo die Mails landen. Viele Grüße! Frank Frank Fiene IT-Security Manager VEKA Group T +492526296200 E ffiene at veka.com VEKA AG Dieselstraße 8 48324, Sendenhorst Nordrhein-Westfalen, Germany www.veka.de Vorstand: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : image001.png Dateityp : image/png Dateigröße : 6894 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : image002.png Dateityp : image/png Dateigröße : 25915 bytes Beschreibung: nicht verfügbar URL : From florian at bodici.de Fri Sep 13 10:32:24 2024 From: florian at bodici.de (Florian Vierke) Date: Fri, 13 Sep 2024 10:32:24 +0200 Subject: DMARC reports In-Reply-To: <96F7E2D6-02F7-4CD6-9317-875AE7DA9078@veka.com> References: <96F7E2D6-02F7-4CD6-9317-875AE7DA9078@veka.com> Message-ID: <639FAE32-6464-4166-B75E-E76D4B2D3AD8@bodici.de> Hallo Frank, DMARCreports ansehen ist definitiv eine gute Idee, das sollte man eigentlich immer tun :) Wenn du was zum selberbasteln suchst, wäre parseDMARC vielleicht was für dich: https://domainaware.github.io/parsedmarc/ Ansonsten gibt es die schicken Bezahlprodukte im kleinen Umfang auch gratis, z.B. DMARCadvisor, da kannst du max. 2 Domains und bis zu 10.000 DMARC Reports pro Monat kostenlos monitoren. Er holt sich allerdings nichts ab, du mü+sstest deine rua auf deren Service ergänzen. VG Florian Vierke > On 13. Sep 2024, at 10:04, Frank Fiene via Postfixbuch-users wrote: > > Moin! > > Wertet irgendjemand die DMARC Reports aus, die zurückkommen? > Dafür gibt es doch bestimmt ein OpenSource-Tool, welches direkt auf eine Mailbox zugreifen kann und sich die json-Dateien zusammensuchen und in schönen Berichten zusammenfassen kann, oder? > > Ich habe mal zwei Postfächer für rua und ruf angelegt, wo die Mails landen. > > > Viele Grüße! Frank > > > > > > Frank Fiene > IT-Security Manager VEKA Group > T +49 2526 29-6200 > E ffiene at veka.com > > VEKA AG > Dieselstraße 8 > 48324 Sendenhorst > Germany > www.veka.de > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar (stellvertretender Vorsitzender/Vice Chairman), Josef L. Beckhoff, Elke Hartleif > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand > HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From usenet at schani.com Sat Sep 14 13:43:20 2024 From: usenet at schani.com (christian) Date: Sat, 14 Sep 2024 13:43:20 +0200 Subject: Apple Mail und Mailserver Message-ID: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> Samstagmorgen in Deutschland, Regen, 8 Grad Hallo Mailops, Ich betreibe ein Debian 12 System mit Postfix, Rspamd und Dovecot, alles auf dem aktuellen Stand, und es gibt einige Hundert E-Mail-Konten. Etwa 30-40 dieser Konten werden auf Macs verwendet und per Apple Mail abgerufen. Dabei treten öfters Probleme beim Anmelden und Verbinden auf. Oft muss man ein Konto in Apple Mail 2-3 Mal anlegen, bevor die Einstellungen übernommen werden und alles korrekt funktioniert. Manchmal liegt es an den Zertifikaten, manchmal werden die Ports scheinbar wahllos verwendet. Die iCloud fuhr werkt dann auch noch dazwischen. Am Ende klappt es irgendwie, aber immer mit viel Herumprobieren! Könnt ihr das bestätigen, oder liegt das Problem bei mir? Ähnliche Probleme kenne ich sonst nur von Outlook365. Gibt es dafür eine Lösung oder einen Workaround? Vielen Dank für Tipps! Und schönes WE Christian From list+postfixbuch at gcore.biz Sat Sep 14 14:50:51 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Sat, 14 Sep 2024 14:50:51 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> Message-ID: > Ich betreibe ein Debian 12 System mit Postfix, Rspamd und Dovecot, alles auf dem aktuellen Stand, und es gibt einige Hundert E-Mail-Konten. > > Etwa 30-40 dieser Konten werden auf Macs verwendet und per Apple Mail abgerufen. Dabei treten öfters Probleme beim Anmelden und Verbinden auf. Oft muss man ein Konto in Apple Mail 2-3 Mal anlegen, bevor die Einstellungen übernommen werden und alles korrekt funktioniert. Manchmal liegt es an den Zertifikaten, manchmal werden die Ports scheinbar wahllos verwendet. Die iCloud fuhr werkt dann auch noch dazwischen. > > Am Ende klappt es irgendwie, aber immer mit viel Herumprobieren! > > Könnt ihr das bestätigen, oder liegt das Problem bei mir? Ähnliche Probleme kenne ich sonst nur von Outlook365. Das kann ich nicht bestätigen. Apple Mail funktioniert mit Postfix und Dovecot seit Jahren zuverlässig. Probleme mit den Zertifikaten gibt es nur wenn diese bzw. die Zertifikatskette am Server nicht gültig sind und in dem Fall sollte sich ein Mailprogramm auch beschweren. In den Einstellungen von Apple Mail unter Accounts / / Servereinstellungen gibt es zwei Checkboxen "Verbindungseinstellungen automatisch verwalten", die meist aktiviert sind. Ist der Server nicht erreichbar, probiert Apple Mail z.B. andere Ports und die Konfiguration kann sich verstellen. Deaktiviert man die Einstellung verstellt sich auch nichts. Generell lässt sich Apple Mail unter MacOS und iOS sehr einfach mit Konfigurationsprofilen einrichten. Der Benutzer ruft eine spezielle Webseite im Safari-Browser auf und gibt Name und E-Mail-Adresse an. Dann erstellt der Server ein Konfigurationsprofil und bietet es zum Download an. Unter iOS wird man direkt an die Systemeinstellungen weitergeleitet, unter MacOS muss man es ggf. via Doppelklick auf die Datei im Downloads-Ordner starten. Dann muss man nur noch das Passwort eintippen und der Account ist eingerichtet. Genauso einfach wird der Account inkl. aller E-Mails beim Löschen des Profils vom System entfernt. Hinweis: sollte im System der Blockierungsmodus aktiv sind, kann man keine Profile installieren. Das dürfte bei den meisten Systemen aber nicht der Fall sein. https://support.apple.com/de-de/105120 Man kann so ein System selbst bauen oder eine fertige Lösung wie https://rseichter.github.io/automx2/ verwenden. Viele Grüße Gerald From Daniel at Mail24.vip Sat Sep 14 14:52:41 2024 From: Daniel at Mail24.vip (Daniel) Date: Sat, 14 Sep 2024 14:52:41 +0200 Subject: AW: Apple Mail und Mailserver In-Reply-To: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> Message-ID: <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> Moin, da scheinen paar Sachen nicht zu stimmen, siehe z.B. https://www.hardenize.com/report/schani.com/1726317928 Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, DMARC Policy auf andere Domain ohne diese zu erlauben. Beim Webserver ebenfalls Probleme mit Cert Matches. Die Macs sind sagen wir mal nicht älter als 5-6 Jahre und haben neuste MacOS drauf? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von christian via Postfixbuch-users Gesendet: Samstag, 14. September 2024 13:43 An: Diskussionen und Support rund um Postfix Cc: christian Betreff: Apple Mail und Mailserver Samstagmorgen in Deutschland, Regen, 8 Grad Hallo Mailops, Ich betreibe ein Debian 12 System mit Postfix, Rspamd und Dovecot, alles auf dem aktuellen Stand, und es gibt einige Hundert E-Mail-Konten. Etwa 30-40 dieser Konten werden auf Macs verwendet und per Apple Mail abgerufen. Dabei treten öfters Probleme beim Anmelden und Verbinden auf. Oft muss man ein Konto in Apple Mail 2-3 Mal anlegen, bevor die Einstellungen übernommen werden und alles korrekt funktioniert. Manchmal liegt es an den Zertifikaten, manchmal werden die Ports scheinbar wahllos verwendet. Die iCloud fuhr werkt dann auch noch dazwischen. Am Ende klappt es irgendwie, aber immer mit viel Herumprobieren! Könnt ihr das bestätigen, oder liegt das Problem bei mir? Ähnliche Probleme kenne ich sonst nur von Outlook365. Gibt es dafür eine Lösung oder einen Workaround? Vielen Dank für Tipps! Und schönes WE Christian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From kflesch at es-ag.com Sat Sep 14 15:49:06 2024 From: kflesch at es-ag.com (Klaus Flesch) Date: Sat, 14 Sep 2024 15:49:06 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> Message-ID: <09819EE3-1C4C-4628-8798-1ED573DF48F7@es-ag.com> Hallo, Ich hatte das Problem mit Apple Mail-Nutzern auch ein paar Mal und konnte es auf Fail2Ban zurückführen. Die vielen automatischen Versuche führen zu einer IP Sperre und nichts geht mehr. Wenn der Benutzer dann entnervt aufgibt und den Rechner ausschaltet, geht es magischerweise am nächsten Morgen, obwohl sich nichts geändert hat. Deshalb ist der Tipp die automatische Verwaltung der Email-Konfiguration auszuschalten goldrichtig. Hth Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach, 07667 933876 > Am 14.09.2024 um 13:43 schrieb christian via Postfixbuch-users : > > ?Samstagmorgen in Deutschland, Regen, 8 Grad > > Hallo Mailops, > > Ich betreibe ein Debian 12 System mit Postfix, Rspamd und Dovecot, alles auf dem aktuellen Stand, und es gibt einige Hundert E-Mail-Konten. > > Etwa 30-40 dieser Konten werden auf Macs verwendet und per Apple Mail abgerufen. Dabei treten öfters Probleme beim Anmelden und Verbinden auf. Oft muss man ein Konto in Apple Mail 2-3 Mal anlegen, bevor die Einstellungen übernommen werden und alles korrekt funktioniert. Manchmal liegt es an den Zertifikaten, manchmal werden die Ports scheinbar wahllos verwendet. Die iCloud fuhr werkt dann auch noch dazwischen. > > Am Ende klappt es irgendwie, aber immer mit viel Herumprobieren! > > Könnt ihr das bestätigen, oder liegt das Problem bei mir? Ähnliche Probleme kenne ich sonst nur von Outlook365. > > Gibt es dafür eine Lösung oder einen Workaround? > > Vielen Dank für Tipps! Und schönes WE > > Christian From Peer-Joachim.Koch at leibniz-hki.de Sat Sep 14 15:56:26 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Sat, 14 Sep 2024 15:56:26 +0200 Subject: Antw: Re: Apple Mail und Mailserver (Out of office (05.09.-> 27.09.]) In-Reply-To: <358E9E5E0200009B637A28CF@weida.hki-jena.de> References: <358E9E5E0200009B637A28CF@weida.hki-jena.de> Message-ID: <66E5960A020000E90009D335@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From list+postfixbuch at gcore.biz Sat Sep 14 20:34:30 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Sat, 14 Sep 2024 20:34:30 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> Message-ID: <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> > da scheinen paar Sachen nicht zu stimmen, siehe z.B. https://www.hardenize.com/report/schani.com/1726317928 Die Seite bietet eine gute Übersicht. Den Empfehlungen sollte man in Bezug auf Mailserver aber nicht blind folgen. > Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, DMARC Policy auf andere Domain ohne diese zu erlauben. Auch wenn viele Mailserver mittlerweile TLS >= 1.2 unterstützen, sollte man TLS 1.0/1.1 im smtpd (noch) nicht abschalten. In der Regel ist security_level "may" konfiguriert, d.h. es wird Verschlüsslung verwendet wenn verfügbar, andernfalls Plaintext. Zurrt man den security_level auf TLS >= 1.2 fest, würden Daten älterer Systeme also eher unverschlüsselt über die Leitung gehen. Da ist irgendwie verschlüsselt besser als gar nicht verschlüsselt (DSGVO). Clientseitig kann man in postfix auch detailliertere Einstellungen vornehmen. Genauere Informationen, auch bzgl. Sicherheit von TLS 1.0/1.1 in Bezug auf Mailtransport, finden sich in den Mails von Viktor Dukhovni im Archiv der Postfix-Mailingliste. Ob das SSL-Zertifikat für Apple-Mail gültig ist kann ich nicht sagen, da der Servername in den Einstellungen nicht genannt wurde. Für den Betrieb des Mailservers ist es aber ungültig. Der MX für schani.com verweist auf wwl10.leicht.info, Mailserver verbinden sich also zu wwl10.leicht.info Port 25. Wird dann STARTSSL ausgeführt, wird ein Zertifikat mit leicht.info als Common Name ausgeliefert, ohne weitere Alternativen. Nur durch security_level=may kommen hier überhaupt verschlüsselte Verbindungen zustande weil auch ungültige Zertifikate akzeptiert werden. Bei Mailcients wie Apple-Mail sieht es anders aus: sollte da ein Servername in den Einstellungen verwendet werden, der nicht im Zertifikat gelistet ist, beschweren die sich zu Recht und die Sicherheit der Kunden ist geschwächt. Für DMARC-Reports an eine externe Adresse fehlt zwar eine entsprechende Freigabe, in der Praxis kommen Reports z.B. von GMail trotzdem an. Zumindest behindert das die normale Mailzustellung nicht. Viele Grüße Gerald From usenet at schani.com Tue Sep 17 16:30:46 2024 From: usenet at schani.com (christian) Date: Tue, 17 Sep 2024 16:30:46 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> Message-ID: Hallo Gerald, danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet über diese. Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht stimmt. dig leicht.info MX leicht.info. 21600 IN MX 10 wwl10.leicht.info. dig schani.com MX leicht.info. 21600 IN MX 10 wwl10.leicht.info. Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay". Na ja ist er nicht. https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich teste jetzt alles durch und optimiere weiter. Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen nicht allzu aufschlussreich sind. Besonders bei Rspamd Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud hängen und die mischt sich immer wieder ein und überschreibt neu angelegte Passwörter. Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter können nicht emailen. Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit falschen Passwörtern und EmailAdressen. LG Christian Am 14.09.2024 um 20:34 schrieb Gerald Galster: >> da scheinen paar Sachen nicht zu stimmen, siehe z.B. https://www.hardenize.com/report/schani.com/1726317928 > > Die Seite bietet eine gute Übersicht. Den Empfehlungen sollte man in Bezug auf Mailserver aber nicht blind folgen. > >> Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, DMARC Policy auf andere Domain ohne diese zu erlauben. > > Auch wenn viele Mailserver mittlerweile TLS >= 1.2 unterstützen, sollte man TLS 1.0/1.1 im smtpd (noch) nicht abschalten. > In der Regel ist security_level "may" konfiguriert, d.h. es wird Verschlüsslung verwendet wenn verfügbar, andernfalls Plaintext. > Zurrt man den security_level auf TLS >= 1.2 fest, würden Daten älterer Systeme also eher unverschlüsselt über die Leitung gehen. > Da ist irgendwie verschlüsselt besser als gar nicht verschlüsselt (DSGVO). Clientseitig kann man in postfix auch detailliertere > Einstellungen vornehmen. Genauere Informationen, auch bzgl. Sicherheit von TLS 1.0/1.1 in Bezug auf Mailtransport, finden sich > in den Mails von Viktor Dukhovni im Archiv der Postfix-Mailingliste. > > Ob das SSL-Zertifikat für Apple-Mail gültig ist kann ich nicht sagen, da der Servername in den Einstellungen nicht genannt wurde. > Für den Betrieb des Mailservers ist es aber ungültig. Der MX für schani.com verweist auf wwl10.leicht.info, Mailserver verbinden > sich also zu wwl10.leicht.info Port 25. Wird dann STARTSSL ausgeführt, wird ein Zertifikat mit leicht.info als Common Name > ausgeliefert, ohne weitere Alternativen. Nur durch security_level=may kommen hier überhaupt verschlüsselte Verbindungen zustande > weil auch ungültige Zertifikate akzeptiert werden. Bei Mailcients wie Apple-Mail sieht es anders aus: sollte da ein Servername > in den Einstellungen verwendet werden, der nicht im Zertifikat gelistet ist, beschweren die sich zu Recht und die Sicherheit > der Kunden ist geschwächt. > > Für DMARC-Reports an eine externe Adresse fehlt zwar eine entsprechende Freigabe, in der Praxis kommen Reports z.B. von GMail > trotzdem an. Zumindest behindert das die normale Mailzustellung nicht. > > Viele Grüße > Gerald From Daniel at Mail24.vip Tue Sep 17 17:32:26 2024 From: Daniel at Mail24.vip (Daniel) Date: Tue, 17 Sep 2024 17:32:26 +0200 Subject: AW: Apple Mail und Mailserver In-Reply-To: References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> Message-ID: <00ab01db0916$ccf76f20$66e64d60$@Mail24.vip> Moin, dein Cert ist nur nicht für wwl10.leicht.info erstellt, und damit ungültig. Nicht wundern wenn Emails ggf. ausbleiben mit falschen Cert, da kann man wohl schon von "Glück" sprechen, dass kein DANE/DNSSEC verwendest mit falschen Cert. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von christian via Postfixbuch-users Gesendet: Dienstag, 17. September 2024 16:31 An: postfixbuch-users at listen.jpberlin.de Cc: christian Betreff: Re: Apple Mail und Mailserver Hallo Gerald, danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet über diese. Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht stimmt. dig leicht.info MX leicht.info. 21600 IN MX 10 wwl10.leicht.info. dig schani.com MX leicht.info. 21600 IN MX 10 wwl10.leicht.info. Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay". Na ja ist er nicht. https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich teste jetzt alles durch und optimiere weiter. Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen nicht allzu aufschlussreich sind. Besonders bei Rspamd Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud hängen und die mischt sich immer wieder ein und überschreibt neu angelegte Passwörter. Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter können nicht emailen. Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit falschen Passwörtern und EmailAdressen. LG Christian Am 14.09.2024 um 20:34 schrieb Gerald Galster: >> da scheinen paar Sachen nicht zu stimmen, siehe z.B. https://www.hardenize.com/report/schani.com/1726317928 > > Die Seite bietet eine gute Übersicht. Den Empfehlungen sollte man in Bezug auf Mailserver aber nicht blind folgen. > >> Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, DMARC Policy auf andere Domain ohne diese zu erlauben. > > Auch wenn viele Mailserver mittlerweile TLS >= 1.2 unterstützen, sollte man TLS 1.0/1.1 im smtpd (noch) nicht abschalten. > In der Regel ist security_level "may" konfiguriert, d.h. es wird Verschlüsslung verwendet wenn verfügbar, andernfalls Plaintext. > Zurrt man den security_level auf TLS >= 1.2 fest, würden Daten älterer Systeme also eher unverschlüsselt über die Leitung gehen. > Da ist irgendwie verschlüsselt besser als gar nicht verschlüsselt (DSGVO). Clientseitig kann man in postfix auch detailliertere > Einstellungen vornehmen. Genauere Informationen, auch bzgl. Sicherheit von TLS 1.0/1.1 in Bezug auf Mailtransport, finden sich > in den Mails von Viktor Dukhovni im Archiv der Postfix-Mailingliste. > > Ob das SSL-Zertifikat für Apple-Mail gültig ist kann ich nicht sagen, da der Servername in den Einstellungen nicht genannt wurde. > Für den Betrieb des Mailservers ist es aber ungültig. Der MX für schani.com verweist auf wwl10.leicht.info, Mailserver verbinden > sich also zu wwl10.leicht.info Port 25. Wird dann STARTSSL ausgeführt, wird ein Zertifikat mit leicht.info als Common Name > ausgeliefert, ohne weitere Alternativen. Nur durch security_level=may kommen hier überhaupt verschlüsselte Verbindungen zustande > weil auch ungültige Zertifikate akzeptiert werden. Bei Mailcients wie Apple-Mail sieht es anders aus: sollte da ein Servername > in den Einstellungen verwendet werden, der nicht im Zertifikat gelistet ist, beschweren die sich zu Recht und die Sicherheit > der Kunden ist geschwächt. > > Für DMARC-Reports an eine externe Adresse fehlt zwar eine entsprechende Freigabe, in der Praxis kommen Reports z.B. von GMail > trotzdem an. Zumindest behindert das die normale Mailzustellung nicht. > > Viele Grüße > Gerald -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From list+postfixbuch at gcore.biz Wed Sep 18 04:01:45 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 18 Sep 2024 04:01:45 +0200 Subject: Apple Mail und Mailserver In-Reply-To: References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> Message-ID: <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> > danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet über diese. > Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht stimmt. > dig leicht.info MX > leicht.info. 21600 IN MX 10 wwl10.leicht.info. > dig schani.com MX > leicht.info. 21600 IN MX 10 wwl10.leicht.info. Bitte schau nochmal genau nach, hier liegt wirklich ein Problem vor: $ host -t mx schani.com schani.com mail is handled by 10 wwl10.leicht.info. Die MX-Host ist wwl10.leicht.info, so weit so gut. Verbinden wir mal dorthin: $ openssl s_client -connect wwl10.leicht.info:25 -starttls smtp -debug -verify 5 -showcerts verify depth is 5 CONNECTED(00000003) ... -----BEGIN CERTIFICATE----- MIIF5jCCBM6gAwIBAgISA+YKg3DFQDkZQJPyZuIVS8+2MA0GCSqGSIb3DQEBCwUA MDMxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQwwCgYDVQQD EwNSMTEwHhcNMjQwODA4MjEyOTA0WhcNMjQxMTA2MjEyOTAzWjAWMRQwEgYDVQQD EwtsZWljaHQuaW5mbzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAJeW 1np9Wd5OpL4eICa7dYD+u1WwpvlmVJetkL+b4w22AHjlZnWkDPAYupPQUfxuYD5P iyxKvjU52zvOVHVrlgq8nxjtAvFXLGdYUylEE0IMuKl6InGXd2vL/DUnk9fUOLzN rhuDFxK6gpNtFM4/nL3kq/6T+YJkLhsniqemUQ47mjGDdtncDCCG6WEgTqomuSPc 0UR1DtWAcVX/cKBLutJLXijpUawJXGQvI+1CLKd8cjGaGriCjRR164wzsyxSyOoD v4ARGhJsF7vYWkACEy4kVLLPsRA/7avDQ+hYxBo+P12r9yuSnlddca7AnTLJ6AYp pEbKKdyg1qRnIHcVdR3DVF/LVE+5RoAaeaUEy2aCmxDhbiahXM8LhL2qIOi89mUb 2/L+0yGX3Y2mC7jzZnkvArIQUCyz7jU5kyb3khABF+wUkcuYzfv+pE6EeUHi4g0w NpJnAx4MOBn2ox5VqaW+dSYrVXpwM2KVM/RjxlpYbrM+9PbXWIBCrVfYI9cVixY8 oxNGm0/IuxR0DFf9scCCrlOCYIISepVj1AP2lEMn6mkxg7/IXMjv3q5TzL51RGaH T+Cmxm6e7yDp5sWKFqWHlEvftIvlZSV7k6jgnlWquilhfDUIW8DNP7osprQjAh5W NzzrV2wkNNN2QmuQcXs7zoYKHpLzBnuanaXWttIjAgMBAAGjggIPMIICCzAOBgNV HQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMAwGA1Ud EwEB/wQCMAAwHQYDVR0OBBYEFJ61oun2U5i2a5n1Z4RIMO2yBcJXMB8GA1UdIwQY MBaAFMXPRqTq9MPAemyVxC2wXpIvJuO5MFcGCCsGAQUFBwEBBEswSTAiBggrBgEF BQcwAYYWaHR0cDovL3IxMS5vLmxlbmNyLm9yZzAjBggrBgEFBQcwAoYXaHR0cDov L3IxMS5pLmxlbmNyLm9yZy8wFgYDVR0RBA8wDYILbGVpY2h0LmluZm8wEwYDVR0g BAwwCjAIBgZngQwBAgEwggEEBgorBgEEAdZ5AgQCBIH1BIHyAPAAdQAZmBBxCfDW Ui4wgNKeP2S7g24ozPkPUo7u385KPxa0ygAAAZE0GsHjAAAEAwBGMEQCIFTrpfqV s3a1nw+KvjQRlzUDYcan9kIByPkN+R5vn1JOAiBbr7AZICMpT4bsQv7Pb7StJGcP KOPZWHcPfynkix7T/QB3AEiw42vapkc0D+VqAvqdMOscUgHLVt0sgdm7v6s52IRz AAABkTQawc8AAAQDAEgwRgIhAPi9cV62HRzKi/F9XFhQWLl9MFoXcTe4Ou2YHimd pvOkAiEAyJQnk1B9gHcenHyPiZh+CJq6Ejh99vo985paSCtl6mQwDQYJKoZIhvcN AQELBQADggEBAGADIX27MgyBqzhnjba6vqgzMruUMIOmpBn8W0BbdOFEhIaJ0nLd P8G3IPxb+ihwAZKOMRXfeZwnRFNIOkmFUwSLiMJqMqDexThzDIqtHOIo0m8OqI7W esEdxyD4AzrpzgSxYa8gLWhw+CnHzE2s8i5aU+M9zlC4PbyimtC7JpkuanUWvEQz IB95kvLJYuTTuca4jelWvRwh4UfWmsyGHZK80SQp7do79SDCPQ7jVgMfCsnclG+r 7RffVcaAo5n3fq16RjU1AQ5fAGQ7lsFLo5v0VwNCBG+dvYnfWSkM9tesDyo6RNgm 5jID+64QKSlmiWgenYnVcMNSHTHmcGQ/Mfk= -----END CERTIFICATE----- Dieses Zertifikat (das erste in der Kette) übergibst Du per copy & paste an openssl, um die notwenigen Daten zu erhalten: $ openssl x509 -text Ergibt: Issuer: C=US, O=Let's Encrypt, CN=R11 Validity Not Before: Aug 8 21:29:04 2024 GMT Not After : Nov 6 21:29:03 2024 GMT Subject: CN=leicht.info ... X509v3 Subject Alternative Name: DNS:leicht.info ... --> Das Zertifikat hört ausschließlich auf leicht.info, es müsste aber (auch) auf wwl10.leicht.info hören. --> Dadurch kann das Zertifikat nicht verifiziert werden: posttls-finger: server certificate verification failed for wwl10.leicht.info[142.132.211.104]:25: num=62:hostname mismatch > Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay". > Na ja ist er nicht. https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage > > Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich teste jetzt alles durch und optimiere weiter. Das kann passieren. Manchmal haben die Autoren solcher Tools in Bezug auf SSL auch andere Vorstellungen als die Postfix-Maintainer. > Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen nicht allzu aufschlussreich sind. Besonders bei Rspamd > > Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud hängen und die mischt sich immer wieder ein und überschreibt neu angelegte Passwörter. Das ist seltsam. In der Regel sollten neue Passwörter über den Schlüsselbund auf alle Geräte synchronisiert werden. In den Einstellungen unter iCloud kann man auch abschalten, dass Passwörter (Schlüsselbund) synchronisiert werden. iOS 18 ist ganz frisch veröffentlich worden. Dort gibt es jetzt ein "Passwörter"-App von Apple, mit der man Passwörter auch anzeigen kann. > Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter können nicht emailen. Und Du bist sicher, dass das über iCloud geht und die Firma nicht ein MDM-System (Mobile Device Management) hat, das die iPhones konfiguriert? > Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit falschen Passwörtern und EmailAdressen. Schau Dir das eine Zeit lang an, evtl. komm diese Anfragen immer aus dem selben Subnetz, dann kannst Du in fail2ban dafür eine Ausnahme hinzufügen. Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Wed Sep 18 05:15:15 2024 From: daniel at mail24.vip (Daniel) Date: Wed, 18 Sep 2024 05:15:15 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> References: <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> Message-ID: <2C341266-B907-4692-A618-E1FCBD2989A4@mail24.vip> Laut Webseite wird Domain direkt verwendet, daher wäre der mx eher falsch, Domain statt Subdomain, dann passt auch Cert. Fraglich was auf iOS und MacOS konfiguriert ist. Ich kann Problem nicht nachvollziehen. Hatte ich ihm auch schon direkt geschrieben, aber keine Reaktion. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From list+postfixbuch at gcore.biz Wed Sep 18 07:21:37 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 18 Sep 2024 07:21:37 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <2C341266-B907-4692-A618-E1FCBD2989A4@mail24.vip> References: <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> <2C341266-B907-4692-A618-E1FCBD2989A4@mail24.vip> Message-ID: > Laut Webseite wird Domain direkt verwendet, daher wäre der mx eher falsch, Domain statt Subdomain, dann passt auch Cert. > > Fraglich was auf iOS und MacOS konfiguriert ist. Nach der Webseite hatte ich gar nicht geschaut. Kann gut sein, dass das Zertifikat für mehrere Dienste verwendet wird. In dem Fall könnte man einfach mehrere Domainnamen ins Zertifikat aufnehmen, LetsEncrypt unterstützt bis zu 100. Viele Grüße Gerald From usenet at schani.com Wed Sep 18 19:56:51 2024 From: usenet at schani.com (christian) Date: Wed, 18 Sep 2024 19:56:51 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> Message-ID: <830c9e7d-797e-4825-9269-3574b03e353a@schani.com> Hallo Gerald, ja ich verstehe was Du meinst. Da ist der Fehler drin. leicht.info hat ein Let´sEncrypt Cert das für smtp und pop/imap verwendet wird. Grund: Ich hatte das mal vor 25 Jahren so angelegt weil ich nur ein (teures) Cert für alles hatte. Habs aber nicht geändert da einige User alles so seit Jahren benutzen. OK ist nicht sauber. für die postfix smtpd Seite habe ich ein wwl10.leicht.info Let´sEncrypt Cert. Ihr schreibt das man mehrere Domains in ein Let´sEncrypt Cert packen kann? Wäre das eine Lösung? Wenn leicht.info und wwl10.leicht.info in Eingehend (smtpd) und Ausgehend (smtp) im Postfix angelegt wären? Und wie würde das funktionieren? reicht es leicht.info.crt und wwl10.leicht.info.crt in ein File zu schreiben und das zu verwenden? Oder wird das von Let´sEncrypt extra erstellt? Danke für Eure Geduld Christian Am 18.09.2024 um 04:01 schrieb Gerald Galster: >> danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. >> Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com >> sendet über diese. >> Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein >> Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht >> stimmt. >> dig leicht.info MX >> leicht.info. 21600 IN MX 10 wwl10.leicht.info. >> dig schani.com MX >> leicht.info. 21600 IN MX 10 wwl10.leicht.info. > > Bitte schau nochmal genau nach, hier liegt wirklich ein Problem vor: > > $ host -t mx schani.com > schani.com mail is handled by 10 wwl10.leicht.info. > > Die MX-Host ist wwl10.leicht.info, so weit so gut. > > Verbinden wir mal dorthin: > > $ openssl s_client -connect wwl10.leicht.info:25 -starttls smtp -debug - > verify 5 -showcerts > verify depth is 5 > CONNECTED(00000003) > ... > -----BEGIN CERTIFICATE----- > MIIF5jCCBM6gAwIBAgISA+YKg3DFQDkZQJPyZuIVS8+2MA0GCSqGSIb3DQEBCwUA > MDMxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQwwCgYDVQQD > EwNSMTEwHhcNMjQwODA4MjEyOTA0WhcNMjQxMTA2MjEyOTAzWjAWMRQwEgYDVQQD > EwtsZWljaHQuaW5mbzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAJeW > 1np9Wd5OpL4eICa7dYD+u1WwpvlmVJetkL+b4w22AHjlZnWkDPAYupPQUfxuYD5P > iyxKvjU52zvOVHVrlgq8nxjtAvFXLGdYUylEE0IMuKl6InGXd2vL/DUnk9fUOLzN > rhuDFxK6gpNtFM4/nL3kq/6T+YJkLhsniqemUQ47mjGDdtncDCCG6WEgTqomuSPc > 0UR1DtWAcVX/cKBLutJLXijpUawJXGQvI+1CLKd8cjGaGriCjRR164wzsyxSyOoD > v4ARGhJsF7vYWkACEy4kVLLPsRA/7avDQ+hYxBo+P12r9yuSnlddca7AnTLJ6AYp > pEbKKdyg1qRnIHcVdR3DVF/LVE+5RoAaeaUEy2aCmxDhbiahXM8LhL2qIOi89mUb > 2/L+0yGX3Y2mC7jzZnkvArIQUCyz7jU5kyb3khABF+wUkcuYzfv+pE6EeUHi4g0w > NpJnAx4MOBn2ox5VqaW+dSYrVXpwM2KVM/RjxlpYbrM+9PbXWIBCrVfYI9cVixY8 > oxNGm0/IuxR0DFf9scCCrlOCYIISepVj1AP2lEMn6mkxg7/IXMjv3q5TzL51RGaH > T+Cmxm6e7yDp5sWKFqWHlEvftIvlZSV7k6jgnlWquilhfDUIW8DNP7osprQjAh5W > NzzrV2wkNNN2QmuQcXs7zoYKHpLzBnuanaXWttIjAgMBAAGjggIPMIICCzAOBgNV > HQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMAwGA1Ud > EwEB/wQCMAAwHQYDVR0OBBYEFJ61oun2U5i2a5n1Z4RIMO2yBcJXMB8GA1UdIwQY > MBaAFMXPRqTq9MPAemyVxC2wXpIvJuO5MFcGCCsGAQUFBwEBBEswSTAiBggrBgEF > BQcwAYYWaHR0cDovL3IxMS5vLmxlbmNyLm9yZzAjBggrBgEFBQcwAoYXaHR0cDov > L3IxMS5pLmxlbmNyLm9yZy8wFgYDVR0RBA8wDYILbGVpY2h0LmluZm8wEwYDVR0g > BAwwCjAIBgZngQwBAgEwggEEBgorBgEEAdZ5AgQCBIH1BIHyAPAAdQAZmBBxCfDW > Ui4wgNKeP2S7g24ozPkPUo7u385KPxa0ygAAAZE0GsHjAAAEAwBGMEQCIFTrpfqV > s3a1nw+KvjQRlzUDYcan9kIByPkN+R5vn1JOAiBbr7AZICMpT4bsQv7Pb7StJGcP > KOPZWHcPfynkix7T/QB3AEiw42vapkc0D+VqAvqdMOscUgHLVt0sgdm7v6s52IRz > AAABkTQawc8AAAQDAEgwRgIhAPi9cV62HRzKi/F9XFhQWLl9MFoXcTe4Ou2YHimd > pvOkAiEAyJQnk1B9gHcenHyPiZh+CJq6Ejh99vo985paSCtl6mQwDQYJKoZIhvcN > AQELBQADggEBAGADIX27MgyBqzhnjba6vqgzMruUMIOmpBn8W0BbdOFEhIaJ0nLd > P8G3IPxb+ihwAZKOMRXfeZwnRFNIOkmFUwSLiMJqMqDexThzDIqtHOIo0m8OqI7W > esEdxyD4AzrpzgSxYa8gLWhw+CnHzE2s8i5aU+M9zlC4PbyimtC7JpkuanUWvEQz > IB95kvLJYuTTuca4jelWvRwh4UfWmsyGHZK80SQp7do79SDCPQ7jVgMfCsnclG+r > 7RffVcaAo5n3fq16RjU1AQ5fAGQ7lsFLo5v0VwNCBG+dvYnfWSkM9tesDyo6RNgm > 5jID+64QKSlmiWgenYnVcMNSHTHmcGQ/Mfk= > -----END CERTIFICATE----- > > Dieses Zertifikat (das erste in der Kette) übergibst Du per > copy & paste an openssl, um die notwenigen Daten zu erhalten: > > $ openssl x509 -text > > > Ergibt: > > Issuer: C=US, O=Let's Encrypt, CN=R11 > Validity > Not Before: Aug 8 21:29:04 2024 GMT > Not After : Nov 6 21:29:03 2024 GMT > Subject: CN=leicht.info > ... > X509v3 Subject Alternative Name: > DNS:leicht.info > ... > > --> Das Zertifikat hört ausschließlich auf leicht.info, es müsste > aber (auch) auf wwl10.leicht.info hören. > > --> Dadurch kann das Zertifikat nicht verifiziert werden: > > posttls-finger: server certificate verification failed for > wwl10.leicht.info[142.132.211.104]:25: num=62:hostname mismatch > > >> Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com >> gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay". >> Na ja ist er nicht. https://mxtoolbox.com/supertool3? >> action=mx%3aleicht.info&run=toolpage >> >> Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich >> teste jetzt alles durch und optimiere weiter. > > Das kann passieren. Manchmal haben die Autoren solcher Tools in Bezug > auf SSL auch andere Vorstellungen als die Postfix-Maintainer. > >> Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen >> nicht allzu aufschlussreich sind. Besonders bei Rspamd >> >> Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der >> Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud >> hängen und die mischt sich immer wieder ein und überschreibt neu >> angelegte Passwörter. > > Das ist seltsam. In der Regel sollten neue Passwörter über den > Schlüsselbund auf alle Geräte synchronisiert werden. > In den Einstellungen unter iCloud kann man auch abschalten, dass > Passwörter (Schlüsselbund) synchronisiert werden. > > iOS 18 ist ganz frisch veröffentlich worden. Dort gibt es jetzt ein > "Passwörter"-App von Apple, mit der man Passwörter auch anzeigen kann. > >> Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der >> Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das >> iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. >> Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter >> können nicht emailen. > > Und Du bist sicher, dass das über iCloud geht und die Firma nicht ein > MDM-System (Mobile Device Management) hat, das die iPhones konfiguriert? > >> Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit >> falschen Passwörtern und EmailAdressen. > > Schau Dir das eine Zeit lang an, evtl. komm diese Anfragen immer aus dem > selben Subnetz, dann kannst Du in fail2ban dafür eine Ausnahme hinzufügen. > > Viele Grüße > Gerald > From list+postfixbuch at gcore.biz Wed Sep 18 21:20:23 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 18 Sep 2024 21:20:23 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <830c9e7d-797e-4825-9269-3574b03e353a@schani.com> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> <830c9e7d-797e-4825-9269-3574b03e353a@schani.com> Message-ID: > ja ich verstehe was Du meinst. Da ist der Fehler drin. > > leicht.info hat ein Let´sEncrypt Cert das für smtp und pop/imap verwendet wird. Grund: Ich hatte das mal vor 25 Jahren so angelegt weil ich nur ein (teures) Cert für alles hatte. Habs aber nicht geändert da einige User alles so seit Jahren benutzen. OK ist nicht sauber. > > für die postfix smtpd Seite habe ich ein wwl10.leicht.info Let´sEncrypt Cert. > > Ihr schreibt das man mehrere Domains in ein Let´sEncrypt Cert packen kann? Wäre das eine Lösung? Wenn leicht.info und wwl10.leicht.info in Eingehend (smtpd) und Ausgehend (smtp) im Postfix angelegt wären? > > Und wie würde das funktionieren? reicht es leicht.info.crt und wwl10.leicht.info.crt in ein File zu schreiben und das zu verwenden? > Oder wird das von Let´sEncrypt extra erstellt? Ich würde ein Multidomain-Zertifikat verwenden, da kann man ohne Probleme mehrere Domains abdecken. Ein Beispiel für certbot wäre: /usr/bin/certbot certonly --reuse-key --webroot -w /var/www/html/certbot --cert-name leicht.info -d leicht.info -d wwl10.leicht.info --webroot nutzt ein vorhandenes Verzeichnis des Webservers -w sagt wo dieses zu finden ist -d für jede Domain, die mit dem Zertifikat geschützt werden soll Cerbot legt im Webroot temporär Dateien ab, die LetsEncrypt via HTTP(S) abruft und so überprüft ob ein Zertifikat ausgestellt werden darf. Wichtig ist: es wird jede angegebene Domain überprüft. Daher sollten alle Anfragen im gleichen Verzeichnis landen. Für Apache kann man dazu einen Alias via /etc/httpd/conf.d/certbot.conf anlegen (einfach die Datei erstellen): Alias /.well-known/acme-challenge/ "/var/www/html/certbot/.well-known/acme-challenge/" Danach den Pfad anlegen (mkdir -p /var/www/html/certbot/.well-known/acme-challenge) und den Webserver neu starten. So gehen die /.well-known/acme-challenge/ Anfragen für jeden VirtualHost nach /var/www/html/certbot/... Wurde das Zertifikat erstellt, kannst Du es so überprüfen: openssl x509 -text < /etc/letsencrypt/live/leicht.info/cert.pem In der Ausgabe suchst Du nach "X509v3 Subject Alternative Name" und die Zeile darunter zeigt via DNS: alle Domainnamen an. Bei postfix, dovecot und httpd verwendet man nun immer das selbe Zertifikat, da es alle Domainnamen enthält. Also z.B. /etc/letsencrypt/live/leicht.info/fullchain.pem für das Zertifikat und /etc/letsencrypt/live/leicht.info/privkey.pem für den privaten Schlüssel. Das Beispiel musst Du für Dich anpassen. Evtl. heißt der Webserver bei Dir apache2 statt httpd und vielleicht verwendest Du ein anderes Tool statt cerbot, ... Solltest Du auf dem selben Server auch Webhosting für verschiedene Kunden/Domains anbieten, dann erstellst Du für diese weiterhin ein eigenes Zertifikat. Nur die ganzen Systemdienste (postfix, dovecot, der httpd selbst) würde ich in einem Multidomain-Zertifikat bündeln. Viele Grüße Gerald From daniel at mail24.vip Thu Sep 19 03:25:58 2024 From: daniel at mail24.vip (Daniel) Date: Thu, 19 Sep 2024 03:25:58 +0200 Subject: Apple Mail und Mailserver In-Reply-To: References: Message-ID: <9DE04EF7-28CF-4EE9-A086-81B91C47C875@mail24.vip> Einfachste wäre den MX auf Domain ändern, braucht man weder am Cert noch am Client was ändern. Für smtp Ausgang ist dein Cert egal, da spielt dann Cert der Gegenseite ne Rolle. Andere Tipps hatte ich direkt geschrieben zwecks SPF usw., wenn man eh bei ist. Wird aber am Apple Client nichts ändern wenn eh Domain direkt als imap und smtp verwendet wofür Cert ja passt. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Thu Sep 19 14:30:09 2024 From: usenet at schani.com (christian) Date: Thu, 19 Sep 2024 14:30:09 +0200 Subject: Apple Mail und Mailserver In-Reply-To: References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> <830c9e7d-797e-4825-9269-3574b03e353a@schani.com> Message-ID: Ich Danke Euch für die Infos. Gestern Abend hab ich noch mit Let´s Encrypt experimentiert. Auf einer anderen unwichtigen Domain, um zu verstehen was da passiert wenn man 2 Domains in einem Zertifikat anlegt. Das sollte so funktionieren, aber! Mein Serververwaltungssystem (Froxlor) legt über cron die Zertifikate automatisch an und löscht acme Einträge automatisch wenn ich das für eine Domain abschalte. Ich könnte zwar parallel dazu eigens eine cron mit dem Befehl ausführen, aber ich weis nicht wie dann Froxlor reagiert. Evtl. überschreibt er mir die Einträge dann gleich wieder. Glaube ich werde alles was mit Email zusammenhängt auf die leicht.info zusammenführen und die wwl10.leicht.info auflösen. Muss dazu nur die MX und SPF Einträge ändern was viel Arbeit macht. Aber ich hab das dann alles auf einer domain mit einem Zertifikat. Die leicht.info hat dann nur Mail. Die Webseite ist auf www.leicht.info mit eigenem Cert. Apache leitet leicht.info sofort auf www.leicht.info um. Ich glaube das ist der saubere Weg. Was mein Ihr? Christian Am 18.09.2024 um 21:20 schrieb Gerald Galster: >> ja ich verstehe was Du meinst. Da ist der Fehler drin. >> >> leicht.info hat ein Let´sEncrypt Cert das für smtp und pop/imap verwendet wird. Grund: Ich hatte das mal vor 25 Jahren so angelegt weil ich nur ein (teures) Cert für alles hatte. Habs aber nicht geändert da einige User alles so seit Jahren benutzen. OK ist nicht sauber. >> >> für die postfix smtpd Seite habe ich ein wwl10.leicht.info Let´sEncrypt Cert. >> >> Ihr schreibt das man mehrere Domains in ein Let´sEncrypt Cert packen kann? Wäre das eine Lösung? Wenn leicht.info und wwl10.leicht.info in Eingehend (smtpd) und Ausgehend (smtp) im Postfix angelegt wären? >> >> Und wie würde das funktionieren? reicht es leicht.info.crt und wwl10.leicht.info.crt in ein File zu schreiben und das zu verwenden? >> Oder wird das von Let´sEncrypt extra erstellt? > > Ich würde ein Multidomain-Zertifikat verwenden, da kann man ohne Probleme mehrere Domains abdecken. > > Ein Beispiel für certbot wäre: > /usr/bin/certbot certonly --reuse-key --webroot -w /var/www/html/certbot --cert-name leicht.info -d leicht.info -d wwl10.leicht.info > > --webroot nutzt ein vorhandenes Verzeichnis des Webservers > -w sagt wo dieses zu finden ist > -d für jede Domain, die mit dem Zertifikat geschützt werden soll > > Cerbot legt im Webroot temporär Dateien ab, die LetsEncrypt via HTTP(S) abruft und so überprüft ob ein Zertifikat ausgestellt werden darf. > Wichtig ist: es wird jede angegebene Domain überprüft. Daher sollten alle Anfragen im gleichen Verzeichnis landen. > > Für Apache kann man dazu einen Alias via /etc/httpd/conf.d/certbot.conf anlegen (einfach die Datei erstellen): > > Alias /.well-known/acme-challenge/ "/var/www/html/certbot/.well-known/acme-challenge/" > > > Danach den Pfad anlegen (mkdir -p /var/www/html/certbot/.well-known/acme-challenge) und den Webserver neu starten. > So gehen die /.well-known/acme-challenge/ Anfragen für jeden VirtualHost nach /var/www/html/certbot/... > > Wurde das Zertifikat erstellt, kannst Du es so überprüfen: > > openssl x509 -text < /etc/letsencrypt/live/leicht.info/cert.pem > > In der Ausgabe suchst Du nach "X509v3 Subject Alternative Name" und die Zeile darunter zeigt via DNS: alle Domainnamen an. > > Bei postfix, dovecot und httpd verwendet man nun immer das selbe Zertifikat, da es alle Domainnamen enthält. > Also z.B. /etc/letsencrypt/live/leicht.info/fullchain.pem für das Zertifikat und /etc/letsencrypt/live/leicht.info/privkey.pem für den privaten Schlüssel. > > Das Beispiel musst Du für Dich anpassen. Evtl. heißt der Webserver bei Dir apache2 statt httpd und vielleicht verwendest Du ein anderes Tool statt cerbot, ... > > Solltest Du auf dem selben Server auch Webhosting für verschiedene Kunden/Domains anbieten, dann erstellst Du für diese weiterhin ein eigenes Zertifikat. > Nur die ganzen Systemdienste (postfix, dovecot, der httpd selbst) würde ich in einem Multidomain-Zertifikat bündeln. > > Viele Grüße > Gerald > > From Daniel at Mail24.vip Thu Sep 19 16:46:47 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 19 Sep 2024 16:46:47 +0200 Subject: AW: Apple Mail und Mailserver In-Reply-To: References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> <830c9e7d-797e-4825-9269-3574b03e353a@schani.com>

Message-ID: <028101db0aa2$c0f40980$42dc1c80$@Mail24.vip> Es muss unerträglich schwer und kompliziert sein in der DNS Zone bei dem MX Eintrag einfach die ersten 6 Zeichen zu löschen, dass dort nur leicht.info steht. Und wenn SPF nicht doppelt gemoppelt haben möchtest einfach einen Wert reinkopieren für beide Domains. ?v=spf1 mx ~all? Oder ?v=spf1 ip4:142.132.211.104 ip6:2a01:4f8:262:5004::2 ~all?. Wird bestimmt Wochen dauern diese enorme umfangreiche Arbeiten. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von christian via Postfixbuch-users Gesendet: Donnerstag, 19. September 2024 14:30 An: postfixbuch-users at listen.jpberlin.de Cc: christian Betreff: Re: Apple Mail und Mailserver Ich Danke Euch für die Infos. Gestern Abend hab ich noch mit Let´s Encrypt experimentiert. Auf einer anderen unwichtigen Domain, um zu verstehen was da passiert wenn man 2 Domains in einem Zertifikat anlegt. Das sollte so funktionieren, aber! Mein Serververwaltungssystem (Froxlor) legt über cron die Zertifikate automatisch an und löscht acme Einträge automatisch wenn ich das für eine Domain abschalte. Ich könnte zwar parallel dazu eigens eine cron mit dem Befehl ausführen, aber ich weis nicht wie dann Froxlor reagiert. Evtl. überschreibt er mir die Einträge dann gleich wieder. Glaube ich werde alles was mit Email zusammenhängt auf die leicht.info zusammenführen und die wwl10.leicht.info auflösen. Muss dazu nur die MX und SPF Einträge ändern was viel Arbeit macht. Aber ich hab das dann alles auf einer domain mit einem Zertifikat. Die leicht.info hat dann nur Mail. Die Webseite ist auf www.leicht.info mit eigenem Cert. Apache leitet leicht.info sofort auf www.leicht.info um. Ich glaube das ist der saubere Weg. Was mein Ihr? Christian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Thu Sep 19 17:23:31 2024 From: usenet at schani.com (christian) Date: Thu, 19 Sep 2024 17:23:31 +0200 Subject: Apple Mail und Mailserver In-Reply-To: <028101db0aa2$c0f40980$42dc1c80$@Mail24.vip> References: <4ff91557-75ae-46f1-aba6-c992b4ad8187@schani.com> <001601db06a4$fc36bad0$f4a43070$@Mail24.vip> <439E58A2-9274-4D51-AE27-BE2F67EF39E8@gcore.biz> <12A1D102-2726-4ECD-8D14-8AC8033295C3@gcore.biz> <830c9e7d-797e-4825-9269-3574b03e353a@schani.com>

<028101db0aa2$c0f40980$42dc1c80$@Mail24.vip> Message-ID: Nein das ist nicht schwer :-) Aber bei ca.700 Domains ;-) sitzt man schon ne Zeit und klickt sich im Webinterface den Wolf Christian Am 19.09.2024 um 16:46 schrieb Daniel via Postfixbuch-users: > Es muss unerträglich schwer und kompliziert sein in der DNS Zone bei dem MX Eintrag einfach die ersten 6 Zeichen zu löschen, dass dort nur leicht.info steht. > > Und wenn SPF nicht doppelt gemoppelt haben möchtest einfach einen Wert reinkopieren für beide Domains. > > ?v=spf1 mx ~all? > > Oder > > ?v=spf1 ip4:142.132.211.104 ip6:2a01:4f8:262:5004::2 ~all?. > > Wird bestimmt Wochen dauern diese enorme umfangreiche Arbeiten. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von christian via Postfixbuch-users > Gesendet: Donnerstag, 19. September 2024 14:30 > An: postfixbuch-users at listen.jpberlin.de > Cc: christian > Betreff: Re: Apple Mail und Mailserver > > Ich Danke Euch für die Infos. > > Gestern Abend hab ich noch mit Let´s Encrypt experimentiert. Auf einer anderen unwichtigen Domain, um zu verstehen was da passiert wenn man 2 Domains in einem Zertifikat anlegt. Das sollte so funktionieren, aber! > > Mein Serververwaltungssystem (Froxlor) legt über cron die Zertifikate automatisch an und löscht acme Einträge automatisch wenn ich das für eine Domain abschalte. Ich könnte zwar parallel dazu eigens eine cron mit dem Befehl ausführen, aber ich weis nicht wie dann Froxlor reagiert. > Evtl. überschreibt er mir die Einträge dann gleich wieder. > > Glaube ich werde alles was mit Email zusammenhängt auf die leicht.info zusammenführen und die wwl10.leicht.info auflösen. Muss dazu nur die MX und SPF Einträge ändern was viel Arbeit macht. Aber ich hab das dann alles auf einer domain mit einem Zertifikat. Die leicht.info hat dann nur Mail. Die Webseite ist auf www.leicht.info mit eigenem Cert. Apache leitet leicht.info sofort auf www.leicht.info um. > > Ich glaube das ist der saubere Weg. > > Was mein Ihr? > Christian > From ronny at seffner.de Thu Sep 19 18:44:37 2024 From: ronny at seffner.de (Ronny Seffner) Date: Thu, 19 Sep 2024 18:44:37 +0200 Subject: Apple Mail und Mailserver Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From usenet at schani.com Thu Sep 19 19:28:01 2024 From: usenet at schani.com (christian) Date: Thu, 19 Sep 2024 19:28:01 +0200 Subject: Apple Mail und Mailserver In-Reply-To: References: Message-ID: <9c280c41-8348-42ca-bb68-b018ccfe0de1@schani.com> Sorry nicht gleich so schimpfen. Die meisten Domains hatte ich schon eingetragen da gabs Froxlor noch nicht und ich musste das mit der Hand machen. Deshalb hat sich das so aufgebaut. Es funktioniert ja auch. Aber jetzt werden die Sicherheitsanforderungen SPF, DKIM, Dmarc evtl Dane immer schärfer und ich muss nachziehen. Ich weis ich könnte das mit Froxlor machen. Ist aber (noch) nicht so. Christian Am 19.09.2024 um 18:44 schrieb Ronny Seffner via Postfixbuch-users: > Du nutzt Froxlor? Da sind SPF und MXe globale Settings, die Du an jeder > Domain überschreiben könntest. > Hast Du es nur global: einmal ändern, configs neu schreiben lassen und > TTL abwarten. > Hast Du es individuell: würde ich über eine SQL query nachdenken und > dann configs neu schreiben lassen und TTL abwarten. > > Wenn Du 700 Domains verwaltest, machst Du das vermutlich gewerblich - > mit Verlaub, dann solltest Du mehr Ahnung haben. > > Ich lasse Froxlor meine Verwaltungsdomain einfach nicht mit verwalten, > das hilft ungemein bei Dingen wie SNI Zertifikaten, Zonefiles, ... > > Am 19.09.2024 17:23 schrieb christian via Postfixbuch-users > : > > Nein das ist nicht schwer :-) > > Aber bei ca.700 Domains ;-) sitzt man schon ne Zeit und klickt sich im > Webinterface den Wolf > > Christian > > > Am 19.09.2024 um 16:46 schrieb Daniel via Postfixbuch-users: > > Es muss unerträglich schwer und kompliziert sein in der DNS Zone > bei dem MX Eintrag einfach die ersten 6 Zeichen zu löschen, dass > dort nur leicht.info steht. > > > > Und wenn SPF nicht doppelt gemoppelt haben möchtest einfach einen > Wert reinkopieren für beide Domains. > > > > ?v=spf1 mx ~all? > > > > Oder > > > > ?v=spf1 ip4:142.132.211.104 ip6:2a01:4f8:262:5004::2 ~all?. > > > > Wird bestimmt Wochen dauern diese enorme umfangreiche Arbeiten. > > > > Gruß Daniel > > > > -----Ursprüngliche Nachricht----- > > Von: Postfixbuch-users bounces at listen.jpberlin.de> Im Auftrag von christian via > Postfixbuch-users > > Gesendet: Donnerstag, 19. September 2024 14:30 > > An: postfixbuch-users at listen.jpberlin.de > > Cc: christian > > Betreff: Re: Apple Mail und Mailserver > > > > Ich Danke Euch für die Infos. > > > > Gestern Abend hab ich noch mit Let´s Encrypt experimentiert. Auf > einer anderen unwichtigen Domain, um zu verstehen was da passiert > wenn man 2 Domains in einem Zertifikat anlegt. Das sollte so > funktionieren, aber! > > > > Mein Serververwaltungssystem (Froxlor) legt über cron die > Zertifikate automatisch an und löscht acme Einträge automatisch wenn > ich das für eine Domain abschalte. Ich könnte zwar parallel dazu > eigens eine cron mit dem Befehl ausführen, aber ich weis nicht wie > dann Froxlor reagiert. > > Evtl. überschreibt er mir die Einträge dann gleich wieder. > > > > Glaube ich werde alles was mit Email zusammenhängt auf die > leicht.info zusammenführen und die wwl10.leicht.info auflösen. Muss > dazu nur die MX und SPF Einträge ändern was viel Arbeit macht. Aber > ich hab das dann alles auf einer domain mit einem Zertifikat. Die > leicht.info hat dann nur Mail. Die Webseite ist auf www.leicht.info > mit eigenem Cert. Apache leitet leicht.info sofort auf > www.leicht.info um. > > > > Ich glaube das ist der saubere Weg. > > > > Was mein Ihr? > > Christian > > > > From sebastian at debianfan.de Sun Sep 22 20:47:57 2024 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 22 Sep 2024 20:47:57 +0200 Subject: google zickt herum... Message-ID: <7e578b4e-c053-432e-ab66-a96e2cba0385@debianfan.de> Guten Abend, google zickt seit heute herum - das "warum" ist mir unklar. Mein Mailserver mail.mailserver.de zeigt auf eine IP, die IP auf die mail.meinedomain.de Ich sende aber meine Mails mit einer virtuellen Domain von diesem Mailserver aus - da gibts natürlich keinen PTR zur IP. Gibts da ne neue Einstellung - irgendeinen txt-Record den ich bei dieser Domain im DNS hinterlegen muss, dass er die Mails auch bei google akzeptiert ? Selbst T-Online hat keine Probleme damit - die sind ja bislang auch immer als sehr zickig aufgefallen. Vor ein paar Wochen hat das definitiv funktioniert - heute nicht mehr. MX-Toolbox Tests mit spf, dkim usw... sind alle 'grün'. gmail-smtp-in.l.google.com[2a00:1450:4025:402::1b] said: 550-5.7.25 [2001:1af8:3100:b010:58af:9bff:fe38:13c2] The IP address sending this 550-5.7.25 message does not have a PTR record setup, or the corresponding 550-5.7.25 forward DNS entry does not match the sending IP. As a policy, Gmail 550-5.7.25 does not accept messages from IPs with missing PTR records. For more 550-5.7.25 information, go to 550-5.7.25 https://support.google.com/a?p=sender-guidelines-ip 550-5.7.25 To learn more about Gmail requirements for bulk senders, visit 550 5.7.25 https://support.google.com/a?p=sender-guidelines. a640c23a62f3a-a9061335e02si1236289766b.762 - gsmtp (in reply to end of DATA command) Gruß Sebastian From ml at irmawi.de Sun Sep 22 21:22:15 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 22 Sep 2024 21:22:15 +0200 Subject: google zickt herum... In-Reply-To: <7e578b4e-c053-432e-ab66-a96e2cba0385@debianfan.de> References: <7e578b4e-c053-432e-ab66-a96e2cba0385@debianfan.de> Message-ID: <1ae0b715-3573-48b6-b088-2b1a822c4265@irmawi.de> Hallo Sebastian, On 22.09.24 20:47, sebastian--- via Postfixbuch-users wrote: > google zickt seit heute herum - das "warum" ist mir unklar. > > Mein Mailserver mail.mailserver.de zeigt auf eine IP, die IP auf die > mail.meinedomain.de das verstehe ich nicht - wie genau sieht Dein Setup aus und warum werden mail.mailserver.de und dessen IP-Adresse unterschiedlich aufgelöst? Es wäre übrigens speziell bei solchen Fragen sehr hilfreich, wenn Du reale Host-/Domainnamen nennen würdest. > Ich sende aber meine Mails mit einer virtuellen Domain von diesem > Mailserver aus - da gibts natürlich keinen PTR zur IP. Entscheidend ist, dass Dein Mailserver, der den Kontakt zum Empfängerserver aufbaut, korrekte DNS-Einträge hat. Welche Absenderdomain Du da verwendest, ist für _diesen_ Check auf dem Empfängerserver irrelevant. Bei anderen/weiteren Checks wie z. B. SPF dann natürlich schon. > Selbst T-Online hat keine Probleme damit - die sind ja bislang auch immer als sehr zickig aufgefallen. > > Vor ein paar Wochen hat das definitiv funktioniert - heute nicht mehr. Vielleicht hattest Du zu der Zeit und/oder bei anderen Empfängerservern IPv4 verwendet, heute jedoch IPv6 und damit tritt das Problem erst jetzt auf? > gmail-smtp-in.l.google.com[2a00:1450:4025:402::1b] said: 550-5.7.25 > [2001:1af8:3100:b010:58af:9bff:fe38:13c2] The IP address sending this > 550-5.7.25 message does not have a PTR record setup, or the corresponding > 550-5.7.25 forward DNS entry does not match the sending IP. As a policy, [...] $ host 2001:1af8:3100:b010:58af:9bff:fe38:13c2 Host 2.c.3.1.8.3.e.f.f.f.b.9.f.a.8.5.0.1.0.b.0.0.1.3.8.f.a.1.1.0.0.2.ip6.arpa not found: 3(NXDOMAIN) Von einem Mailserver mit dieser IP-Adresse würde ich wegen des fehlenden PTR-Records auch keine Mail annehmen. ;-) Hast Du bei Deinem Provider die Möglichkeit, in den DNS-Settings für die o. g. IPv6-Adresse die Reverseauflösung zu konfigurieren, sprich, einen entsprechenden PTR-Record einzutragen? Viele Grüße Markus From sebastian at debianfan.de Mon Sep 23 15:53:36 2024 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 23 Sep 2024 15:53:36 +0200 Subject: google zickt herum... In-Reply-To: <1ae0b715-3573-48b6-b088-2b1a822c4265@irmawi.de> References: <7e578b4e-c053-432e-ab66-a96e2cba0385@debianfan.de> <1ae0b715-3573-48b6-b088-2b1a822c4265@irmawi.de> Message-ID: Dein Hinweis mit der ipv6 war gut - das ist mir bislang nie aufgefallen, dass er trotz dass in der /etc/network/interfaces kein Eintrag hierfür ist eine ipv6 Adresse hat. Die kurzfristige Lösung war, diese zu deaktivieren (syskonfig) und langfristig die ipv6 auch mit der Domain zu verbinden - hier stehe ich mit dem Provider in Kontakt. Danke für den Tipp :-) Am 22.09.2024 um 21:22 schrieb Markus Winkler via Postfixbuch-users: > Hallo Sebastian, > > On 22.09.24 20:47, sebastian--- via Postfixbuch-users wrote: >> google zickt seit heute herum - das "warum" ist mir unklar. >> >> Mein Mailserver mail.mailserver.de zeigt auf eine IP, die IP auf die >> mail.meinedomain.de > > das verstehe ich nicht - wie genau sieht Dein Setup aus und warum werden > mail.mailserver.de und dessen IP-Adresse unterschiedlich aufgelöst? > > Es wäre übrigens speziell bei solchen Fragen sehr hilfreich, wenn Du > reale Host-/Domainnamen nennen würdest. > >> Ich sende aber meine Mails mit einer virtuellen Domain von diesem >> Mailserver aus - da gibts natürlich keinen PTR zur IP. > > Entscheidend ist, dass Dein Mailserver, der den Kontakt zum > Empfängerserver aufbaut, korrekte DNS-Einträge hat. Welche > Absenderdomain Du da verwendest, ist für _diesen_ Check auf dem > Empfängerserver irrelevant. Bei anderen/weiteren Checks wie z. B. SPF > dann natürlich schon. > > >> Selbst T-Online hat keine Probleme damit - die sind ja bislang auch >> immer als sehr zickig aufgefallen. >> >> Vor ein paar Wochen hat das definitiv funktioniert - heute nicht mehr. > > Vielleicht hattest Du zu der Zeit und/oder bei anderen Empfängerservern > IPv4 verwendet, heute jedoch IPv6 und damit tritt das Problem erst jetzt > auf? > > >> gmail-smtp-in.l.google.com[2a00:1450:4025:402::1b] said: 550-5.7.25 >> [2001:1af8:3100:b010:58af:9bff:fe38:13c2] The IP address sending >> this >> 550-5.7.25 message does not have a PTR record setup, or the >> corresponding >> 550-5.7.25 forward DNS entry does not match the sending IP. As a >> policy, > [...] > > $ host 2001:1af8:3100:b010:58af:9bff:fe38:13c2 > Host > 2.c.3.1.8.3.e.f.f.f.b.9.f.a.8.5.0.1.0.b.0.0.1.3.8.f.a.1.1.0.0.2.ip6.arpa > not found: 3(NXDOMAIN) > > Von einem Mailserver mit dieser IP-Adresse würde ich wegen des fehlenden > PTR-Records auch keine Mail annehmen. ;-) > > Hast Du bei Deinem Provider die Möglichkeit, in den DNS-Settings für die > o. g. IPv6-Adresse die Reverseauflösung zu konfigurieren, sprich, einen > entsprechenden PTR-Record einzutragen? > > Viele Grüße > Markus > From fk+postfix at celebrate.de Tue Sep 24 07:43:47 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 24 Sep 2024 07:43:47 +0200 Subject: STARTTLS SSLv3 Message-ID: Hallo zusammen, Ich kann von einer großen Versicherung keine Emails empfangen (Postfix 2.10.1): Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435: Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: lost connection after STARTTLS from mail1.gothaer.de[194.126.228.24] Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: disconnect from mail1.gothaer.de[194.126.228.24] Der Grund hierfür ist, dass meine SSL Konfig so aussieht: smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_mandatory_ciphers = medium Ich interpretiere das Problem daher, dass der sendende MTA SSLv3 verwendet, welches ich ja nicht erlaube. OpenSSL ist wie folgt compiliert: [op1 at farm11]# openssl ciphers -v | awk '{print $2}' | sort | uniq SSLv3 TLSv1.2 Gibt es eine Möglichkeit nur für diesen sendenden Host SSLv3 zu erlauben? Er scheint auch kein Fallback auf unverschlüsselt konfiguriert zu haben, da ich smtpd_tls_mandatory_ciphers = medium eingestellt habe und somit die Chance dazu wäre. Oder bin ich auf einem komplett falschen Weg? lg Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From gnitzsche at netcologne.de Tue Sep 24 08:47:28 2024 From: gnitzsche at netcologne.de (gnitzsche) Date: Tue, 24 Sep 2024 08:47:28 +0200 Subject: STARTTLS SSLv3 In-Reply-To: References: Message-ID: On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote: > Hallo zusammen, > > Ich kann von einer großen Versicherung keine Emails empfangen (Postfix > 2.10.1): > > Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library > problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no > shared cipher:s3_srvr.c:1435: > Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: lost connection after > STARTTLS from mail1.gothaer.de[194.126.228.24] > Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: disconnect from > mail1.gothaer.de[194.126.228.24] > > Der Grund hierfür ist, dass meine SSL Konfig so aussieht: > > smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 > smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 > smtpd_tls_mandatory_ciphers = medium > > Ich interpretiere das Problem daher, dass der sendende MTA SSLv3 > verwendet, welches ich ja nicht erlaube. > OpenSSL ist wie folgt compiliert: > > [op1 at farm11]# openssl ciphers -v | awk '{print $2}' | sort | uniq > SSLv3 > TLSv1.2 > > Gibt es eine Möglichkeit nur für diesen sendenden Host SSLv3 zu > erlauben? > Er scheint auch kein Fallback auf unverschlüsselt konfiguriert zu > haben, da ich smtpd_tls_mandatory_ciphers = medium eingestellt habe und > somit die Chance dazu wäre. > > Oder bin ich auf einem komplett falschen Weg? > > lg Frank Denke, das liegt an dem "no shared cipher". Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits) Gruß, Gunther -- -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From fk+postfix at celebrate.de Tue Sep 24 09:01:46 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 24 Sep 2024 09:01:46 +0200 Subject: STARTTLS SSLv3 In-Reply-To: References: Message-ID: Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users: > > On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote: > >> Hallo zusammen, >> >> Ich kann von einer großen Versicherung keine Emails empfangen >> (Postfix 2.10.1): >> >> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library >> problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no >> shared cipher:s3_srvr.c:1435: >> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: lost connection after >> STARTTLS from mail1.gothaer.de[194.126.228.24] >> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: disconnect from >> mail1.gothaer.de[194.126.228.24] >> >> Der Grund hierfür ist, dass meine SSL Konfig so aussieht: >> >> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 >> smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 >> smtpd_tls_mandatory_ciphers = medium >> >> Ich interpretiere das Problem daher, dass der sendende MTA SSLv3 >> verwendet, welches ich ja nicht erlaube. >> OpenSSL ist wie folgt compiliert: >> >> [op1 at farm11]# openssl ciphers -v | awk '{print $2}' | sort | uniq >> SSLv3 >> TLSv1.2 >> >> Gibt es eine Möglichkeit nur für diesen sendenden Host SSLv3 zu >> erlauben? >> Er scheint auch kein Fallback auf unverschlüsselt konfiguriert zu >> haben, da ich smtpd_tls_mandatory_ciphers = medium eingestellt habe >> und somit die Chance dazu wäre. >> >> Oder bin ich auf einem komplett falschen Weg? >> >> lg Frank >> > > Denke, das liegt an dem "no shared cipher". > > Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher > DHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Hmm, folgende cipherlist habe ich konfiguriert: tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 Die DHE-RSA-AES256-GCM-SHA384 habe ich am Ende der Liste ja eigentlich drin. Wenn ich per testssl.sh mir die verfügbaren cipher unter TLS 1.2 für den Server an Port 25 ansehe, fehlt dieses aber: TLSv1.2 (server order) xc019 AECDH-AES256-SHA ECDH 256 AES 256 TLS_ECDH_anon_WITH_AES_256_CBC_SHA xa7 ADH-AES256-GCM-SHA384 DH 2048 AESGCM 256 TLS_DH_anon_WITH_AES_256_GCM_SHA384 x6d ADH-AES256-SHA256 DH 2048 AES 256 TLS_DH_anon_WITH_AES_256_CBC_SHA256 x3a ADH-AES256-SHA DH 2048 AES 256 TLS_DH_anon_WITH_AES_256_CBC_SHA x89 ADH-CAMELLIA256-SHA DH 2048 Camellia 256 TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA xc02c ECDHE-ECDSA-AES256-GCM-SHA384 ECDH 256 AESGCM 256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 xc024 ECDHE-ECDSA-AES256-SHA384 ECDH 256 AES 256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 xc00a ECDHE-ECDSA-AES256-SHA ECDH 256 AES 256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA xc018 AECDH-AES128-SHA ECDH 256 AES 128 TLS_ECDH_anon_WITH_AES_128_CBC_SHA xa6 ADH-AES128-GCM-SHA256 DH 2048 AESGCM 128 TLS_DH_anon_WITH_AES_128_GCM_SHA256 x6c ADH-AES128-SHA256 DH 2048 AES 128 TLS_DH_anon_WITH_AES_128_CBC_SHA256 x34 ADH-AES128-SHA DH 2048 AES 128 TLS_DH_anon_WITH_AES_128_CBC_SHA x9b ADH-SEED-SHA DH 2048 SEED 128 TLS_DH_anon_WITH_SEED_CBC_SHA x46 ADH-CAMELLIA128-SHA DH 2048 Camellia 128 TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA xc02b ECDHE-ECDSA-AES128-GCM-SHA256 ECDH 256 AESGCM 128 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 xc023 ECDHE-ECDSA-AES128-SHA256 ECDH 256 AES 128 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 xc009 ECDHE-ECDSA-AES128-SHA ECDH 256 AES 128 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA xc017 AECDH-DES-CBC3-SHA ECDH 256 3DES 168 TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA x1b ADH-DES-CBC3-SHA DH 2048 3DES 168 TLS_DH_anon_WITH_3DES_EDE_CBC_SHA xc008 ECDHE-ECDSA-DES-CBC3-SHA ECDH 256 3DES 168 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA xc016 AECDH-RC4-SHA ECDH 256 RC4 128 TLS_ECDH_anon_WITH_RC4_128_SHA x18 ADH-RC4-MD5 DH 2048 RC4 128 TLS_DH_anon_WITH_RC4_128_MD5 xc007 ECDHE-ECDSA-RC4-SHA ECDH 256 RC4 128 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA Openssl stellt aber DHE-RSA-AES256-GCM-SHA384 zur Verfügung: # openssl ciphers -v \ > 'aNULL:-aNULL:kEECDH:kEDH:+RC4:!eNULL:!EXPORT:!LOW:@STRENGTH' | > awk '{printf "%-32s %s\n", $1, $3}' AECDH-AES256-SHA Kx=ECDH ECDHE-RSA-AES256-GCM-SHA384 Kx=ECDH ECDHE-ECDSA-AES256-GCM-SHA384 Kx=ECDH ECDHE-RSA-AES256-SHA384 Kx=ECDH ECDHE-ECDSA-AES256-SHA384 Kx=ECDH ECDHE-RSA-AES256-SHA Kx=ECDH ECDHE-ECDSA-AES256-SHA Kx=ECDH ADH-AES256-GCM-SHA384 Kx=DH ADH-AES256-SHA256 Kx=DH ADH-AES256-SHA Kx=DH ADH-CAMELLIA256-SHA Kx=DH DHE-DSS-AES256-GCM-SHA384 Kx=DH DHE-RSA-AES256-GCM-SHA384 Kx=DH DHE-RSA-AES256-SHA256 Kx=DH DHE-DSS-AES256-SHA256 Kx=DH DHE-RSA-AES256-SHA Kx=DH DHE-DSS-AES256-SHA Kx=DH DHE-RSA-CAMELLIA256-SHA Kx=DH DHE-DSS-CAMELLIA256-SHA Kx=DH AECDH-AES128-SHA Kx=ECDH ECDHE-RSA-AES128-GCM-SHA256 Kx=ECDH ECDHE-ECDSA-AES128-GCM-SHA256 Kx=ECDH ECDHE-RSA-AES128-SHA256 Kx=ECDH ECDHE-ECDSA-AES128-SHA256 Kx=ECDH ECDHE-RSA-AES128-SHA Kx=ECDH ECDHE-ECDSA-AES128-SHA Kx=ECDH ADH-AES128-GCM-SHA256 Kx=DH ADH-AES128-SHA256 Kx=DH ADH-AES128-SHA Kx=DH ADH-SEED-SHA Kx=DH ADH-CAMELLIA128-SHA Kx=DH DHE-DSS-AES128-GCM-SHA256 Kx=DH DHE-RSA-AES128-GCM-SHA256 Kx=DH DHE-RSA-AES128-SHA256 Kx=DH DHE-DSS-AES128-SHA256 Kx=DH DHE-RSA-AES128-SHA Kx=DH DHE-DSS-AES128-SHA Kx=DH DHE-RSA-SEED-SHA Kx=DH DHE-DSS-SEED-SHA Kx=DH DHE-RSA-CAMELLIA128-SHA Kx=DH DHE-DSS-CAMELLIA128-SHA Kx=DH AECDH-DES-CBC3-SHA Kx=ECDH ECDHE-RSA-DES-CBC3-SHA Kx=ECDH ECDHE-ECDSA-DES-CBC3-SHA Kx=ECDH ADH-DES-CBC3-SHA Kx=DH EDH-RSA-DES-CBC3-SHA Kx=DH EDH-DSS-DES-CBC3-SHA Kx=DH AECDH-RC4-SHA Kx=ECDH ECDHE-RSA-RC4-SHA Kx=ECDH ECDHE-ECDSA-RC4-SHA Kx=ECDH ADH-RC4-MD5 Kx=DH Habe ich irgend etwas falsch angegeben? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From gnitzsche at netcologne.de Tue Sep 24 09:32:17 2024 From: gnitzsche at netcologne.de (gnitzsche) Date: Tue, 24 Sep 2024 09:32:17 +0200 Subject: STARTTLS SSLv3 In-Reply-To: References:

Message-ID: <712c3541b134558ede817a1e4b8fe105@netcologne.de> On 2024-09-24 09:01, Frank Kirschner via Postfixbuch-users wrote: > Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users: > > On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote: > > <-snip-> > > Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS library > problem: 2767072:error:1408A0C1:SSL routines:ssl3_get_client_hello:no > shared cipher:s3_srvr.c:1435: > > Denke, das liegt an dem "no shared cipher". > > Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher > DHE-RSA-AES256-GCM-SHA384 (256/256 bits) > > <-snip-> Hmm, folgende cipherlist habe ich konfiguriert: tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 <-snip-> Habe ich irgend etwas falsch angegeben? postfix sagt dazu: medium Enable "MEDIUM" grade or better OpenSSL ciphers. The underlying cipherlist is specified via the tls_medium_cipherlist [1] configuration parameter, which you are strongly encouraged not to change. tls_medium_cipherlist (default: see "postconf -d" output) ..You are strongly encouraged not to change this setting. openssl s_client -connect farm**.de:25 -starttls smtp -cipher DHE-RSA-AES256-GCM-SHA384 schlägt fehl; mit ECDHE-ECDSA-AES256-GCM-SHA384 funktioniert es.. Ich empfehle, die Konfig für die cipherlist (und evtl. excludes ?) genau zu prüfen bzw. den Default herzustellen. Mal bei postconf -n gegen den Default postconf -d die tls-Zeilen genau prüfen. Gruß Gunther -- Links: ------ [1] https://www.postfix.org/postconf.5.html#tls_medium_cipherlist -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From fk+postfix at celebrate.de Tue Sep 24 09:59:28 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 24 Sep 2024 09:59:28 +0200 Subject: STARTTLS SSLv3 In-Reply-To: <712c3541b134558ede817a1e4b8fe105@netcologne.de> References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> Message-ID: <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de> Am 24.09.2024 um 09:32 schrieb gnitzsche via Postfixbuch-users: > > On 2024-09-24 09:01, Frank Kirschner via Postfixbuch-users wrote: > >> >> Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users: >>> >>> On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote: >>> >>> <-snip-> >>> >>> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS >>> library problem: 2767072:error:1408A0C1:SSL >>> routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435: >>> >>> Denke, das liegt an dem "no shared cipher". >>> >>> Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher >>> DHE-RSA-AES256-GCM-SHA384 (256/256 bits) >>> >>> <-snip-> >>> >> Hmm, folgende cipherlist habe ich konfiguriert: >> >> tls_medium_cipherlist = >> ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 >> >> <-snip-> >> >> Habe ich irgend etwas falsch angegeben? >> > > postfix sagt dazu: > > *medium* > > Enable "MEDIUM" grade or better OpenSSL ciphers. The underlying > cipherlist is specified via the tls_medium_cipherlist > > configuration parameter, which you are strongly encouraged not to change. > > *tls_medium_cipherlist (default: see "postconf -d" output)* > > *..You are strongly encouraged not to change this setting. * > > > openssl s_client -connect farm**.de:25 -starttls smtp -cipher > DHE-RSA-AES256-GCM-SHA384 > > schlägt fehl; mit ECDHE-ECDSA-AES256-GCM-SHA384 funktioniert es.. > > > Ich empfehle, die Konfig für die cipherlist (und evtl. excludes ?) > genau zu prüfen > > bzw. den Default herzustellen. Mal bei postconf -n gegen den Default > postconf -d die > > tls-Zeilen genau prüfen. > Danke Gunther, sehr gute Idee, Folgendes habe ich herausgefunden: postconf -d tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH postconf -n tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 Ich habe jetzt mal in der Postfix Konfiguration die default tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH aktiviert, leider immer noch das Problem. Jedoch gibt mir: # openssl s_client -connect localhost:25 -starttls smtp -cipher DHE-RSA-AES256-GCM-SHA384 CONNECTED(00000003) 140338129299344:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:769: --- *no peer certificate available* --- No client certificate CA names sent einen wertvollen Hinweis. Meine Zertifikate werden mit "tehydrated" von Let's Encrypt erzeugt. Scheinbar fehlen da RSA ciphers. Werde da mal nachforschen. Danke für den Hinweis zur Fehlersuche. lg Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From fk+postfix at celebrate.de Tue Sep 24 11:10:51 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 24 Sep 2024 11:10:51 +0200 Subject: STARTTLS SSLv3 In-Reply-To: <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de> References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de> Message-ID: Am 24.09.2024 um 09:59 schrieb Frank Kirschner via Postfixbuch-users: > Am 24.09.2024 um 09:32 schrieb gnitzsche via Postfixbuch-users: >> >> On 2024-09-24 09:01, Frank Kirschner via Postfixbuch-users wrote: >> >>> >>> Am 24.09.2024 um 08:47 schrieb gnitzsche via Postfixbuch-users: >>>> >>>> On 2024-09-24 07:43, Frank Kirschner via Postfixbuch-users wrote: >>>> >>>> <-snip-> >>>> >>>> Sep 24 06:17:52 farm11 postfix/smtpd[2767072]: warning: TLS >>>> library problem: 2767072:error:1408A0C1:SSL >>>> routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1435: >>>> >>>> Denke, das liegt an dem "no shared cipher". >>>> >>>> Hier kommt mail1.gothaer.de an mit TLSv1.2 mit Cipher >>>> DHE-RSA-AES256-GCM-SHA384 (256/256 bits) >>>> >>>> <-snip-> >>>> >>> Hmm, folgende cipherlist habe ich konfiguriert: >>> >>> tls_medium_cipherlist = >>> ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 >>> >>> <-snip-> >>> >>> Habe ich irgend etwas falsch angegeben? >>> >> >> postfix sagt dazu: >> >> *medium* >> >> Enable "MEDIUM" grade or better OpenSSL ciphers. The underlying >> cipherlist is specified via the tls_medium_cipherlist >> >> configuration parameter, which you are strongly encouraged not to change. >> >> *tls_medium_cipherlist (default: see "postconf -d" output)* >> >> *..You are strongly encouraged not to change this setting. * >> >> >> openssl s_client -connect farm**.de:25 -starttls smtp -cipher >> DHE-RSA-AES256-GCM-SHA384 >> >> schlägt fehl; mit ECDHE-ECDSA-AES256-GCM-SHA384 funktioniert es.. >> >> >> Ich empfehle, die Konfig für die cipherlist (und evtl. excludes ?) >> genau zu prüfen >> >> bzw. den Default herzustellen. Mal bei postconf -n gegen den Default >> postconf -d die >> >> tls-Zeilen genau prüfen. >> > Danke Gunther, sehr gute Idee, Folgendes habe ich herausgefunden: > > postconf -d > tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH > > postconf -n > tls_medium_cipherlist = > ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 > > Ich habe jetzt mal in der Postfix Konfiguration die default > tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH > aktiviert, leider immer noch das Problem. > > Jedoch gibt mir: > # openssl s_client -connect localhost:25 -starttls smtp -cipher > DHE-RSA-AES256-GCM-SHA384 > CONNECTED(00000003) > 140338129299344:error:14077410:SSL > routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake > failure:s23_clnt.c:769: > --- > *no peer certificate available* > --- > No client certificate CA names sent > > einen wertvollen Hinweis. Meine Zertifikate werden mit "tehydrated" > von Let's Encrypt erzeugt. Scheinbar fehlen da RSA ciphers. Werde da > mal nachforschen. > Danke für den Hinweis zur Fehlersuche. > dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force neues Zertifikat und Schlüssel erstellt, danach Postfix neu geladen. Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 zur Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl mit 1.0.2 -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From max at freecards.de Tue Sep 24 13:35:49 2024 From: max at freecards.de (Markus Heinze) Date: Tue, 24 Sep 2024 13:35:49 +0200 Subject: STARTTLS SSLv3 In-Reply-To: References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de> Message-ID: > dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 > erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force neues > Zertifikat und Schlüssel erstellt, danach Postfix neu geladen. > Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 zur > Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl mit 1.0.2 openssl 1.0.2x unterstützt diesen Cipher nicht, pass openssl und abhängige Komponenten entsprechen an, dann geht das auch. lg max From fk+postfix at celebrate.de Tue Sep 24 14:24:20 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 24 Sep 2024 14:24:20 +0200 Subject: STARTTLS SSLv3 In-Reply-To: References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de>

Message-ID: <1ad3d42f-e1c2-4296-a949-819165f22314@celebrate.de> Am 24.09.2024 um 13:35 schrieb Markus Heinze via Postfixbuch-users: >> dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 >> erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force >> neues Zertifikat und Schlüssel erstellt, danach Postfix neu geladen. >> Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 zur >> Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl mit >> 1.0.2 > > > openssl 1.0.2x unterstützt diesen Cipher nicht, pass openssl und > abhängige Komponenten entsprechen an, dann geht das auch. Danke, habe eben openssl 1.1.1k installiert, den Server neu gestartet: # openssl version OpenSSL 1.1.1k 25 Mar 2021 Leider immer noch das Problem: # openssl s_client -connect 192.168.130.191:25 -starttls smtp -cipher DHE-RSA-AES256-GCM-SHA384 CONNECTED(00000003) 140716227073856:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl/record/rec_layer_s3.c:1544:SSL alert number 40 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 190 bytes and written 274 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- Muss ich Postfix noch irgendwie beibringen, dass eine neue Openssl-Version installiert wurde? Danke für die Hilfe, Frank From fk+postfix at celebrate.de Tue Sep 24 14:33:41 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 24 Sep 2024 14:33:41 +0200 Subject: STARTTLS SSLv3 In-Reply-To: <1ad3d42f-e1c2-4296-a949-819165f22314@celebrate.de> References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de>

<1ad3d42f-e1c2-4296-a949-819165f22314@celebrate.de> Message-ID: <7eec154c-d2ee-4f2e-8779-b7d1835ac0b0@celebrate.de> Am 24.09.2024 um 14:24 schrieb Frank Kirschner via Postfixbuch-users: > Am 24.09.2024 um 13:35 schrieb Markus Heinze via Postfixbuch-users: > >>> dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 >>> erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force >>> neues Zertifikat und Schlüssel erstellt, danach Postfix neu geladen. >>> Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 >>> zur Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl >>> mit 1.0.2 >> >> >> openssl 1.0.2x unterstützt diesen Cipher nicht, pass openssl und >> abhängige Komponenten entsprechen an, dann geht das auch. > Danke, habe eben openssl 1.1.1k installiert, den Server neu gestartet: > > # openssl version > OpenSSL 1.1.1k 25 Mar 2021 > > Leider immer noch das Problem: > > # openssl s_client -connect 192.168.130.191:25 -starttls smtp -cipher > DHE-RSA-AES256-GCM-SHA384 > CONNECTED(00000003) > 140716227073856:error:14094410:SSL routines:ssl3_read_bytes:sslv3 > alert handshake failure:ssl/record/rec_layer_s3.c:1544:SSL alert > number 40 > --- > no peer certificate available > --- > No client certificate CA names sent > --- > SSL handshake has read 190 bytes and written 274 bytes > Verification: OK > --- > New, (NONE), Cipher is (NONE) > Secure Renegotiation IS NOT supported > Compression: NONE > Expansion: NONE > No ALPN negotiated > Early data was not sent > Verify return code: 0 (ok) > > --- > > Muss ich Postfix noch irgendwie beibringen, dass eine neue > Openssl-Version installiert wurde? > aktuelle Konfiguration: postconf -n alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix content_filter = amavisfeed:[127.0.0.1]:10024 daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 disable_vrfy_command = yes dovecot_destination_recipient_limit = 1 html_directory = no inet_interfaces = all inet_protocols = ipv4 mail_name = Mailserver mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 15000000 milter_default_action = accept milter_protocol = 6 mydestination = $myhostname, localhost.$mydomain, localhost mydomain = ****** myhostname = farm11.cbr1.de mynetworks = 127.0.0.0/8, 192.168.130.0/24, 192.168.178.0/24, 192.168.140.0/24 myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix non_smtpd_milters = inet:localhost:8891 policy-spf_time_limit = 3600s queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix-2.10.1/README_FILES recipient_bcc_maps = hash:/etc/postfix/bcc_maps recipient_delimiter = + sample_directory = /usr/share/doc/postfix-2.10.1/samples sender_bcc_maps = hash:/etc/postfix/bcc_maps sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop smtp_tls_exclude_ciphers = aNULL smtp_tls_mandatory_exclude_ciphers = RC4, aNULL, MD5 smtp_tls_mandatory_protocols = !SSLv2 !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = may smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_unknown_client, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, permit smtpd_data_restrictions = reject_unauth_pipelining smtpd_discard_ehlo_keywords = chunking, silent-discard smtpd_error_sleep_time = 30s smtpd_hard_error_limit = 2 smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, check_helo_access cidr:/etc/postfix/whitelist/postfix-dnswl-permit, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname smtpd_milters = inet:localhost:8891 smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_client, permit_sasl_authenticated, reject_unauth_pipelining, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, check_helo_access pcre:/etc/postfix/helo_checks.pcre, check_client_access cidr:/etc/postfix/whitelist/postfix-dnswl-permit, check_client_access cidr:/etc/postfix/my_blacklist, check_policy_service inet:127.0.0.1:10023, check_policy_service unix:private/policy-spf, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client dyna.spamrats.com, permit smtpd_reject_unlisted_recipient = yes smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination reject_unauth_destination smtpd_sasl_auth_enable = no smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_reverse_client_hostname, reject_unknown_client_hostname, reject_unknown_sender_domain smtpd_soft_error_limit = 1 smtpd_tls_CAfile = /opt/dehydrated-master/certs/farm11.cbr1.de/chain.pem smtpd_tls_auth_only = yes smtpd_tls_cert_file = /opt/dehydrated-master/certs/farm11.cbr1.de/fullchain.pem smtpd_tls_dh1024_param_file = /etc/postfix/dhparam smtpd_tls_eecdh_grade = ultra smtpd_tls_key_file = /opt/dehydrated-master/certs/farm11.cbr1.de/privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = yes tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 tls_preempt_cipherlist = yes tls_random_source = dev:/dev/urandom unknown_address_reject_code = 554 unknown_client_reject_code = 554 unknown_hostname_reject_code = 554 virtual_alias_maps = hash:/etc/postfix/virtual virtual_mailbox_domains = *********** virtual_transport = dovecot From gnitzsche at netcologne.de Tue Sep 24 14:38:23 2024 From: gnitzsche at netcologne.de (gnitzsche) Date: Tue, 24 Sep 2024 14:38:23 +0200 Subject: STARTTLS SSLv3 In-Reply-To: <1ad3d42f-e1c2-4296-a949-819165f22314@celebrate.de> References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de>

<1ad3d42f-e1c2-4296-a949-819165f22314@celebrate.de> Message-ID: <5e56e89a36914dbc43e6646f6f88b0b5@netcologne.de> On 2024-09-24 14:24, Frank Kirschner via Postfixbuch-users wrote: > Am 24.09.2024 um 13:35 schrieb Markus Heinze via Postfixbuch-users: > >>> dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 >>> erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force >>> neues Zertifikat und Schlüssel erstellt, danach Postfix neu geladen. >>> Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 zur >>> Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl mit >>> 1.0.2 >> >> >> openssl 1.0.2x unterstützt diesen Cipher nicht, pass openssl und >> abhängige Komponenten entsprechen an, dann geht das auch. > Danke, habe eben openssl 1.1.1k installiert, den Server neu gestartet: > > # openssl version > OpenSSL 1.1.1k 25 Mar 2021 > <-snip-> > --- > > Muss ich Postfix noch irgendwie beibringen, dass eine neue > Openssl-Version installiert wurde? > > Danke für die Hilfe, > Frank Ist denn die cipher hier dabei? # /usr/bin/openssl ciphers -v Wird das openssl auch genutzt oder gibt's vielleicht noch was in/usr/local/bin..? postconf -n (-d) | grep openssl_path Gruß Gunther -- From fk+postfix at celebrate.de Wed Sep 25 08:31:56 2024 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Wed, 25 Sep 2024 08:31:56 +0200 Subject: STARTTLS SSLv3 In-Reply-To: <5e56e89a36914dbc43e6646f6f88b0b5@netcologne.de> References:

<712c3541b134558ede817a1e4b8fe105@netcologne.de> <2cf7ddef-ddb7-4005-8475-8a1bad2b5df5@celebrate.de>

<1ad3d42f-e1c2-4296-a949-819165f22314@celebrate.de> <5e56e89a36914dbc43e6646f6f88b0b5@netcologne.de> Message-ID: Am 24.09.2024 um 14:38 schrieb gnitzsche via Postfixbuch-users: > On 2024-09-24 14:24, Frank Kirschner via Postfixbuch-users wrote: >> Am 24.09.2024 um 13:35 schrieb Markus Heinze via Postfixbuch-users: >> >>>> dehydrated hat die Zertifikate und Schlüssel mit KEY_ALGO=secp384r1 >>>> erstellt, habe das auf KEY_ALGO=rsa geändert und mittels --force >>>> neues Zertifikat und Schlüssel erstellt, danach Postfix neu geladen. >>>> Leider wird immer noch nicht der Cipher DHE-RSA-AES256-GCM-SHA384 >>>> zur Verfügung gestellt. Postfix läuft in Version 2.10.1 und openssl >>>> mit 1.0.2 >>> >>> >>> openssl 1.0.2x unterstützt diesen Cipher nicht, pass openssl und >>> abhängige Komponenten entsprechen an, dann geht das auch. >> Danke, habe eben openssl 1.1.1k installiert, den Server neu gestartet: >> >> # openssl version >> OpenSSL 1.1.1k 25 Mar 2021 >> > <-snip-> >> --- >> >> Muss ich Postfix noch irgendwie beibringen, dass eine neue >> Openssl-Version installiert wurde? >> > > Ist denn die cipher hier dabei? > > # /usr/bin/openssl ciphers -v > > Wird das openssl auch genutzt oder gibt's vielleicht noch was > in/usr/local/bin..? > postconf -n (-d) | grep openssl_path > > Ja die cipher ist nun dabei: > DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) > Mac=AEAD >> >> Wird das openssl auch genutzt oder gibt's vielleicht noch was >> in/usr/local/bin..? > # ls /usr/local/bin > chardetect detectvba.pl rar rebuild_rbldns.pl unrar > >> postconf -n (-d) | grep openssl_path > openssl_path wird als unused parameter deklariert. Die Postfix > Installation stammt laut den vorliegenden Unterlagen aus den CentOS 7 > core rpms. Da CentOS 7 EOL ist, wird gerade ein neuer Mailserver > aufgebaut. > Kann es sein, dass das bei der Installation verwendete rpm aus einem > Build mit der Openssl Lib 1.0.1 stammt? Dann müsste postfix ja neu > compiliert werden, mit der openssl Lib 1.1.1 Auf dem neuen Server mit Postfix 3. ist der cipher vorhanden. Wäre natürlich toll, wenn wir während der Übergangs dien Postfix 2.x auch noch mit der cipher betreiben könnten. lg Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From nico.funke at spun-industries.de Fri Sep 27 05:53:22 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 27 Sep 2024 05:53:22 +0200 Subject: Mails werden abgelehnt Message-ID: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> Hallo zusammen, ich muss nochmal ganz kurz stören. In der Tat habe ich auch nur eine bitte. Ich beschäftige mich noch etwas mit der Konfiguration eines Postfix / Dovecot zum senden und empfangen von Mails. Alles macht soweit das was es soll. Bis auf den Punkt, dass ich keine Mails empfangen kann. Bei versenden einer Testmail erhalte ich die Standartablenungsmails. Zuerst das es verzögert ist und letztendlich abgelehnt wird. Seltsam ist, dass ich keinen Logeintrag erhalte. Ich kann nach Rückmeldung bestätigen, dass kein Traffic blockiert wird und ein einziger Logeintrag bei dem der absende Host zu sehen ist, bestätigt, dass die Firewall nicht verantwortlich ist. (postfix/smtpd[1322125]: improper command pipelining after CONNECT) Ich vermute daher, dass eine Option von mir falsch gesetzt wurde und würde mich freuen wenn jemand kurz über die Konfiguration schauen könnte, um zu bestätigen, dass dort alles ok ist oder eben nicht. postconf -nf alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes compatibility_level = 3.6 inet_interfaces = all inet_protocols = ipv4 mailbox_size_limit = 0 mydestination = name1 at domain.net, name2 at domain.tld, hostname, localhost.localdomain, localhost myhostname = hostname mynetworks = 127.0.0.0/8, 157.90.241.184/32 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relay_domains = hash:/etc/postfix/relay_domains relayhost = sender_canonical_maps = hash:/etc/postfix/sender_canonical smtp_tls_CAfile = /etc/ssl/ordner/certificate.crt smtp_tls_CApath = /etc/ssl/certs smtp_tls_cert_file = /etc/ssl/ordner/bundle.crt smtp_tls_ciphers = high smtp_tls_key_file = /etc/ssl/ordner/key.key smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_tls_CAfile = /etc/ssl/ordner/certificate.crt smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/ssl/ordner/bundle.crt smtpd_tls_key_file = /etc/ssl/ordner/key.key smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_security_level = encrypt transport_maps = hash:/etc/postfix/relay_domains Best, -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From max at freecards.de Fri Sep 27 06:03:24 2024 From: max at freecards.de (Markus Heinze) Date: Fri, 27 Sep 2024 06:03:24 +0200 Subject: Mails werden abgelehnt In-Reply-To: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> Message-ID: Moin, Am 27.09.2024 um 05:53 schrieb Nico Funke via Postfixbuch-users: > > > > smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 > smtpd_tls_protocols = !SSLv2, !SSLv3 > smtpd_tls_security_level = encrypt > transport_maps = hash:/etc/postfix/relay_domains > > > setze mal |smtpd_tls_security_level = may smtp_tls_security_level = may und schau ob es dann geht. vg max | -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From nico.funke at spun-industries.de Fri Sep 27 08:49:42 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 27 Sep 2024 08:49:42 +0200 Subject: Mails werden abgelehnt In-Reply-To: References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> Message-ID: Hi, Keine Veränderung. Somit kein TLS Anliegen? Best, Am 27.09.24 um 06:03 schrieb Markus Heinze via Postfixbuch-users: > > Moin, > > Am 27.09.2024 um 05:53 schrieb Nico Funke via Postfixbuch-users: >> >> >> >> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 >> smtpd_tls_protocols = !SSLv2, !SSLv3 >> smtpd_tls_security_level = encrypt >> transport_maps = hash:/etc/postfix/relay_domains >> >> >> > setze mal > > |smtpd_tls_security_level = may smtp_tls_security_level = may und > schau ob es dann geht. vg max | -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From postfixbuch-users at 0xaffe.de Fri Sep 27 08:57:53 2024 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 27 Sep 2024 08:57:53 +0200 Subject: Mails werden abgelehnt In-Reply-To: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> Message-ID: Hallo Nico, Am 27.09.24 um 05:53 schrieb Nico Funke via Postfixbuch-users: > > ... > > Seltsam ist, dass ich keinen Logeintrag erhalte. > Ich kann nach Rückmeldung bestätigen, dass kein Traffic blockiert > wird und ein einziger Logeintrag bei dem der absende Host zu sehen > ist, bestätigt, dass die Firewall nicht verantwortlich ist. > (postfix/smtpd[1322125]: improper command pipelining after CONNECT) > Wie testest Du denn den Mailversand? Per selbst gebautem Skript? Die Meldung "improper command pipelining after CONNECT" besagt, dass der Client (Dein Skript/E-Mailclient) nicht auf die Antwort (z.B. vom EHLO) wartet und gleich mit den anderen Kommandos "losschießt". Viele Grüße Mathias -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml at irmawi.de Fri Sep 27 09:29:08 2024 From: ml at irmawi.de (Markus Winkler) Date: Fri, 27 Sep 2024 09:29:08 +0200 Subject: Mails werden abgelehnt In-Reply-To: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> Message-ID: <20240927072908.k6w2h4cfwehpv4k5@kermit.home.priv> Hallo Nico, On Fri, 27 Sep 2024 at 05:53:22AM +0200, Nico Funke via Postfixbuch-users wrote: > Alles macht soweit das was es soll. > Bis auf den Punkt, dass ich keine Mails empfangen kann. wirklich _gar keine_ oder nur von bestimmten Hosts nicht? > Bei versenden einer Testmail erhalte ich die Standartablenungsmails. > Zuerst das es verzögert ist und letztendlich abgelehnt wird. Wie genau hast Du diese Testmail denn verschickt? > Seltsam ist, dass ich keinen Logeintrag erhalte. Hast Du evtl. von einem solchen sendenden System Logs? > Ich kann nach Rückmeldung bestätigen, dass kein Traffic blockiert > wird und ein einziger Logeintrag bei dem der absende Host zu sehen > ist, bestätigt, dass die Firewall nicht verantwortlich ist. > (postfix/smtpd[1322125]: improper command pipelining after CONNECT) Ist Dein Server bzw. die Domain top secret oder könnte man mal eine Mail dahin schicken? Sonst ist das Suchen eines solchen Fehlers arg mühselig. Viele Grüße Markus From nico.funke at spun-industries.de Fri Sep 27 09:50:07 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 27 Sep 2024 09:50:07 +0200 Subject: Mails werden abgelehnt In-Reply-To: <20240927072908.k6w2h4cfwehpv4k5@kermit.home.priv> References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> <20240927072908.k6w2h4cfwehpv4k5@kermit.home.priv> Message-ID: Hi Markus, >> Alles macht soweit das was es soll. >> Bis auf den Punkt, dass ich keine Mails empfangen kann. > > wirklich _gar keine_ oder nur von bestimmten Hosts nicht? ich habe es von zwei unterschiedlichen Mailadressen / Domains / IP's aber dem selben Provider (Hetzner) getestet. >> Bei versenden einer Testmail erhalte ich die >> Standartablenungsmails. >> Zuerst das es verzögert ist und letztendlich abgelehnt wird. > > Wie genau hast Du diese Testmail denn verschickt? Ganz normal mit Thunderbird und der Android App K9 > >> Seltsam ist, dass ich keinen Logeintrag erhalte. > > Hast Du evtl. von einem solchen sendenden System Logs? Ich habe vermutlich zu viele Versuche gemacht und werde aktuell sofort abgelehnt: all hosts for 'anarchydica.net' have been failing for a long time (and retry time not reached) Zuerst habe ich noch diese erhalten: H=mail.anarchydica.net [157.90.241.184]: SMTP timeout after initial connection: Connection timed out > >> Ich kann nach Rückmeldung bestätigen, dass kein Traffic blockiert >> wird und ein einziger Logeintrag bei dem der absende Host zu sehen >> ist, bestätigt, dass die Firewall nicht verantwortlich ist. >> (postfix/smtpd[1322125]: improper command pipelining after >> CONNECT) > > Ist Dein Server bzw. die Domain top secret oder könnte man mal > eine Mail dahin schicken? Sonst ist das Suchen eines solchen > Fehlers arg mühselig. Ich denke nicht das es so geheim ist: admin at anarchydica.net Best, Am 27.09.24 um 09:29 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > On Fri, 27 Sep 2024 at 05:53:22AM +0200, Nico Funke via > Postfixbuch-users wrote: >> Alles macht soweit das was es soll. >> Bis auf den Punkt, dass ich keine Mails empfangen kann. > > wirklich _gar keine_ oder nur von bestimmten Hosts nicht? > >> Bei versenden einer Testmail erhalte ich die Standartablenungsmails. >> Zuerst das es verzögert ist und letztendlich abgelehnt wird. > > Wie genau hast Du diese Testmail denn verschickt? > >> Seltsam ist, dass ich keinen Logeintrag erhalte. > > Hast Du evtl. von einem solchen sendenden System Logs? > >> Ich kann nach Rückmeldung bestätigen, dass kein Traffic blockiert >> wird und ein einziger Logeintrag bei dem der absende Host zu sehen >> ist, bestätigt, dass die Firewall nicht verantwortlich ist. >> (postfix/smtpd[1322125]: improper command pipelining after CONNECT) > > Ist Dein Server bzw. die Domain top secret oder könnte man mal eine > Mail dahin schicken? Sonst ist das Suchen eines solchen Fehlers arg > mühselig. > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From max at freecards.de Fri Sep 27 11:07:05 2024 From: max at freecards.de (Markus Heinze) Date: Fri, 27 Sep 2024 11:07:05 +0200 Subject: Mails werden abgelehnt In-Reply-To: References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de>

Message-ID: <3a69fe07-a4b6-44f9-8b65-4f5adc1ac18c@freecards.de> Hi, Am 27.09.2024 um 08:49 schrieb Nico Funke via Postfixbuch-users: > > Hi, > > Keine Veränderung. > > Somit kein TLS Anliegen? > > > Best, > wie sieht denn die master.cf für smtpd und submission aus? > Am 27.09.24 um 06:03 schrieb Markus Heinze via Postfixbuch-users: >> >> Moin, >> >> Am 27.09.2024 um 05:53 schrieb Nico Funke via Postfixbuch-users: >>> >>> >>> >>> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 >>> smtpd_tls_protocols = !SSLv2, !SSLv3 >>> smtpd_tls_security_level = encrypt >>> transport_maps = hash:/etc/postfix/relay_domains >>> >>> >>> >> setze mal >> >> |smtpd_tls_security_level = may smtp_tls_security_level = may und >> schau ob es dann geht. vg max | > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bjo at schafweide.org Fri Sep 27 11:16:49 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Fri, 27 Sep 2024 11:16:49 +0200 Subject: Mails werden abgelehnt In-Reply-To: References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> <20240927072908.k6w2h4cfwehpv4k5@kermit.home.priv> Message-ID: <31e76150-bc80-4c95-8d0a-02504b3f433a@schafweide.org> Moin, > > Zuerst habe ich noch diese erhalten: > H=mail.anarchydica.net [157.90.241.184]: SMTP timeout after initial > connection: Connection timed out das passiert von meinem Server aus auch: 9EEBAE4DB553: to=, relay=none, delay=30, delays=0.14/0.01/30/0, dsn=4.4.1, status=deferred (connect to mail.anarchydica.net[157.90.241.184]:25: Connection timed out) Grüße bjo From michael at linuxfox.de Fri Sep 27 11:33:01 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 27 Sep 2024 11:33:01 +0200 Subject: Mails werden abgelehnt In-Reply-To: <31e76150-bc80-4c95-8d0a-02504b3f433a@schafweide.org> References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> <20240927072908.k6w2h4cfwehpv4k5@kermit.home.priv> <31e76150-bc80-4c95-8d0a-02504b3f433a@schafweide.org> Message-ID: Am 27.09.24 um 11:16 schrieb Bjoern Franke via Postfixbuch-users: > 9EEBAE4DB553: to=, relay=none, delay=30, > delays=0.14/0.01/30/0, dsn=4.4.1, status=deferred (connect to > mail.anarchydica.net[157.90.241.184]:25: Connection timed out) naja ... nmap -Pn mail.anarchydica.net Starting Nmap 7.01 ( https://nmap.org ) at 2024-09-27 11:29 CEST Nmap scan report for mail.anarchydica.net (157.90.241.184) Host is up (0.012s latency). rDNS record for 157.90.241.184: static.184.241.90.157.clients.your-server.de Not shown: 996 filtered ports PORT STATE SERVICE 80/tcp open http 443/tcp open https 587/tcp open submission 993/tcp open imaps Nmap done: 1 IP address (1 host up) scanned in 21.46 seconds -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From daniel at mail24.vip Fri Sep 27 11:51:39 2024 From: daniel at mail24.vip (Daniel) Date: Fri, 27 Sep 2024 11:51:39 +0200 Subject: Mails werden abgelehnt In-Reply-To: References: Message-ID: Würde mal Firewall prüfen oder Portfreigabe im Router, anscheinend kein Port 25 Tcp offen Gruß Daniel > Am 27.09.2024 um 11:33 schrieb Michael Grundmann via Postfixbuch-users : > > ?Am 27.09.24 um 11:16 schrieb Bjoern Franke via Postfixbuch-users: > >> 9EEBAE4DB553: to=, relay=none, delay=30, delays=0.14/0.01/30/0, dsn=4.4.1, status=deferred (connect to mail.anarchydica.net[157.90.241.184]:25: Connection timed out) > > naja ... > > nmap -Pn mail.anarchydica.net > > Starting Nmap 7.01 ( https://nmap.org ) at 2024-09-27 11:29 CEST > Nmap scan report for mail.anarchydica.net (157.90.241.184) > Host is up (0.012s latency). > rDNS record for 157.90.241.184: static.184.241.90.157.clients.your-server.de > Not shown: 996 filtered ports > PORT STATE SERVICE > 80/tcp open http > 443/tcp open https > 587/tcp open submission > 993/tcp open imaps > > Nmap done: 1 IP address (1 host up) scanned in 21.46 seconds > > > -- > Gruß Michael > > Wenn du verstehst, was du tust, wirst du nichts lernen -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From bjo at schafweide.org Fri Sep 27 11:57:11 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Fri, 27 Sep 2024 11:57:11 +0200 Subject: Mails werden abgelehnt In-Reply-To: References:

Message-ID: <16c1d766-14c3-45d3-9e44-7ebfd0f068ef@schafweide.org> Am 27.09.24 um 11:51 schrieb Daniel via Postfixbuch-users: > Würde mal Firewall prüfen oder Portfreigabe im Router, anscheinend kein Port 25 Tcp offen > Portfreigabe im Router von Hetzner? From daniel at mail24.vip Fri Sep 27 12:03:14 2024 From: daniel at mail24.vip (Daniel) Date: Fri, 27 Sep 2024 12:03:14 +0200 Subject: Mails werden abgelehnt In-Reply-To: <16c1d766-14c3-45d3-9e44-7ebfd0f068ef@schafweide.org> References: <16c1d766-14c3-45d3-9e44-7ebfd0f068ef@schafweide.org> Message-ID: <87A209C9-A0F8-4B90-81FF-CED9188F2CB5@mail24.vip> Weis was ich obs nen vserver ist und man in nem Management vom Host was einstellen muss, oder ob ggf. Plesk/Confixx oder ähnliches drauf ist oder eigene OS Install. Jedenfalls Port zu, entsprechend blockt da etwas, oder smtp Dienst läuft schlicht nicht. Gruß Daniel > Am 27.09.2024 um 11:57 schrieb Bjoern Franke via Postfixbuch-users : > > ?Am 27.09.24 um 11:51 schrieb Daniel via Postfixbuch-users: >> Würde mal Firewall prüfen oder Portfreigabe im Router, anscheinend kein Port 25 Tcp offen > > Portfreigabe im Router von Hetzner? -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From ae at ae-online.de Fri Sep 27 11:59:46 2024 From: ae at ae-online.de (Andreas Ernst) Date: Fri, 27 Sep 2024 11:59:46 +0200 Subject: Mails werden abgelehnt In-Reply-To: References: <3c1e4539-bd42-4368-8098-b19bc1556826@spun-industries.de> <20240927072908.k6w2h4cfwehpv4k5@kermit.home.priv> <31e76150-bc80-4c95-8d0a-02504b3f433a@schafweide.org> Message-ID: <582af9dc-5163-42f1-9451-2a911dbf4333@ae-online.de> Am 27.09.24 um 11:33 schrieb Michael Grundmann via Postfixbuch-users: > Am 27.09.24 um 11:16 schrieb Bjoern Franke via Postfixbuch-users: > >> 9EEBAE4DB553: to=, relay=none, delay=30, >> delays=0.14/0.01/30/0, dsn=4.4.1, status=deferred (connect to >> mail.anarchydica.net[157.90.241.184]:25: Connection timed out) > > naja ... > > nmap -Pn mail.anarchydica.net > > Starting Nmap 7.01 ( https://nmap.org ) at 2024-09-27 11:29 CEST > Nmap scan report for mail.anarchydica.net (157.90.241.184) > Host is up (0.012s latency). > rDNS record for 157.90.241.184: static.184.241.90.157.clients.your- Auch den Reverse DNS anpassen: Andreas-MacBook-Pro:~ andreas$ host mail.anarchydica.net mail.anarchydica.net has address 157.90.241.184 Andreas-MacBook-Pro:~ andreas$ host 157.90.241.184 184.241.90.157.in-addr.arpa domain name pointer static.184.241.90.157.clients.your-server.de. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de | www.ae-online.de www.tachyon-online.de From Peer-Joachim.Koch at leibniz-hki.de Fri Sep 27 12:05:34 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Fri, 27 Sep 2024 12:05:34 +0200 Subject: Antw: Re: Mails werden abgelehnt (Out of office (05.09.-> 27.09.]) In-Reply-To: <746109FE0200002DFEEA9AC5@weida.hki-jena.de> References: <5E6897E402000008257646A2@weida.hki-jena.de>

<8971864C0200000C8B31266A@weida.hki-jena.de> <9F00322E02000052C4FBD4CE@weida.hki-jena.de> <746109FE0200002DFEEA9AC5@weida.hki-jena.de> Message-ID: <66F6836E020000E90009E031@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From max at freecards.de Fri Sep 27 13:03:23 2024 From: max at freecards.de (Markus Heinze) Date: Fri, 27 Sep 2024 13:03:23 +0200 Subject: Mails werden abgelehnt In-Reply-To: References:

Message-ID: Moin, wenn der Port zu wäre käme kein Connect zustande gelle --> postfix/smtpd[1322125]: improper command pipelining after CONNECT <-- Das Problem dürfte im TLS liegen, daher meine Fragen weiter oben, bitte Auszug master.cf lg max Am 27.09.2024 um 11:51 schrieb Daniel via Postfixbuch-users: > Würde mal Firewall prüfen oder Portfreigabe im Router, anscheinend kein Port 25 Tcp offen > > Gruß Daniel > >> Am 27.09.2024 um 11:33 schrieb Michael Grundmann via Postfixbuch-users: >> >> ?Am 27.09.24 um 11:16 schrieb Bjoern Franke via Postfixbuch-users: >> >>> 9EEBAE4DB553: to=, relay=none, delay=30, delays=0.14/0.01/30/0, dsn=4.4.1, status=deferred (connect to mail.anarchydica.net[157.90.241.184]:25: Connection timed out) >> naja ... >> >> nmap -Pn mail.anarchydica.net >> >> Starting Nmap 7.01 (https://nmap.org ) at 2024-09-27 11:29 CEST >> Nmap scan report for mail.anarchydica.net (157.90.241.184) >> Host is up (0.012s latency). >> rDNS record for 157.90.241.184: static.184.241.90.157.clients.your-server.de >> Not shown: 996 filtered ports >> PORT STATE SERVICE >> 80/tcp open http >> 443/tcp open https >> 587/tcp open submission >> 993/tcp open imaps >> >> Nmap done: 1 IP address (1 host up) scanned in 21.46 seconds >> >> >> -- >> Gruß Michael >> >> Wenn du verstehst, was du tust, wirst du nichts lernen -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From michael at linuxfox.de Fri Sep 27 13:24:55 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 27 Sep 2024 13:24:55 +0200 Subject: Mails werden abgelehnt In-Reply-To: References:

Message-ID: Am 27.09.24 um 13:03 schrieb Markus Heinze via Postfixbuch-users: > wenn der Port zu wäre käme kein Connect zustande gelle > > --> > > postfix/smtpd[1322125]: improper command pipelining after CONNECT > > <-- nmap lügt nicht - der Port ist zu - das da ist bestimmt localhost - also haben wir mehrere Probleme -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From max at freecards.de Fri Sep 27 13:43:23 2024 From: max at freecards.de (Markus Heinze) Date: Fri, 27 Sep 2024 13:43:23 +0200 Subject: Mails werden abgelehnt In-Reply-To: References:

Message-ID: Am 27.09.2024 um 13:24 schrieb Michael Grundmann via Postfixbuch-users: > Am 27.09.24 um 13:03 schrieb Markus Heinze via Postfixbuch-users: > >> wenn der Port zu wäre käme kein Connect zustande gelle >> >> --> >> >> postfix/smtpd[1322125]: improper command pipelining after CONNECT >> >> <-- > > nmap lügt nicht - der Port ist zu - das da ist bestimmt localhost - > also haben wir mehrere Probleme > Ja stimmt, der sumisiion sieht auf den ersten Blick Ok aus, scheint der Fuchs in der master.cf zu liegen oder wirklich Firewall From nico.funke at spun-industries.de Sat Sep 28 04:12:51 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sat, 28 Sep 2024 04:12:51 +0200 Subject: Mails werden abgelehnt In-Reply-To: References:

Message-ID: <33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> Der Port TCP 25 ist in der Tat geschlossen. Das war jedoch Absicht, da ich es über Port 587 laufen lassen wollte. Ich habe zum Test den Server von welchen ich Mails sende und empfange getestet, dort ist er auch zu: nmap mail.your-server.de -p 25 Starting Nmap 7.93 ( https://nmap.org ) at 2024-09-27 22:19 CEST Nmap scan report for mail.your-server.de (78.46.5.205) Host is up (0.032s latency). Other addresses for mail.your-server.de (not scanned): 2a01:4f8:fff1:14::1 PORT STATE SERVICE 25/tcp filtered smtp Nmap done: 1 IP address (1 host up) scanned in 0.54 seconds Daher den Port dann auch zu gelassen. Jedoch habe ich ihn zum Test vor Stunden geöffnet und eben nochmal mit nmap getestet, er ist weiterhin zu. Ich habe Ihn noch offen, falls jemand selbst testen möchte. (in meinen Hetzner Firewall Einstellungen) Demnach blockt Hetzner in dem Fall noch irgendwo etwas. Wen es jetzt unabdingbar ist, dass der Port offen sein muss, dann muss ich wohl nochmal dem Support schreiben. postconf -Mf smtp inet n - y - - smtpd submission inet n - y - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_client_restrictions=permit_sasl_authenticated,reject pickup unix n - y 60 1 pickup cleanup unix n - y - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - y 1000? 1 tlsmgr rewrite unix - - y - - trivial-rewrite bounce unix - - y - 0 bounce defer unix - - y - 0 bounce trace unix - - y - 0 bounce verify unix - - y - 1 verify flush unix n - y 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - y - - smtp relay unix - - y - - smtp -o syslog_name=postfix/$service_name showq unix n - y - - showq error unix - - y - - error retry unix - - y - - error discard unix - - y - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - y - - lmtp anvil unix - - y - 1 anvil scache unix - - y - 1 scache postlog unix-dgram n - n - 1 postlogd maildrop unix - n n - - pipe flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} Best, Am 27.09.24 um 13:43 schrieb Markus Heinze via Postfixbuch-users: > Am 27.09.2024 um 13:24 schrieb Michael Grundmann via Postfixbuch-users: >> Am 27.09.24 um 13:03 schrieb Markus Heinze via Postfixbuch-users: >> >>> wenn der Port zu wäre käme kein Connect zustande gelle >>> >>> --> >>> >>> postfix/smtpd[1322125]: improper command pipelining after CONNECT >>> >>> <-- >> >> nmap lügt nicht - der Port ist zu - das da ist bestimmt localhost - >> also haben wir mehrere Probleme >> > Ja stimmt, der sumisiion sieht auf den ersten Blick Ok aus, scheint > der Fuchs in der master.cf zu liegen oder wirklich Firewall -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From daniel at mail24.vip Sat Sep 28 05:55:45 2024 From: daniel at mail24.vip (Daniel) Date: Sat, 28 Sep 2024 05:55:45 +0200 Subject: Mails werden abgelehnt In-Reply-To: <33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> References: <33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> Message-ID: <909BFC79-8545-4574-9F9E-C35BB2AD9CE9@mail24.vip> Moin, der Port 25 dient zum empfangen von Emails ohne Anmeldung, also jeder der dir Mail senden möchte. 587 ist für Mails mit Anmeldung, also Mailclients. Sollte es nicht gewünscht sein, gebe auch keinen MX Server an in Domain. Dann kannst ja weiterhin intern Mails senden. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From bjo at schafweide.org Sat Sep 28 08:59:04 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Sat, 28 Sep 2024 08:59:04 +0200 Subject: Mails werden abgelehnt In-Reply-To: <33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> References:

<33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> Message-ID: <6dd232ee-a74b-478a-9a2e-c82972085e51@schafweide.org> > Daher den Port dann auch zu gelassen. > > Jedoch habe ich ihn zum Test vor Stunden geöffnet und eben nochmal > mit nmap getestet, er ist weiterhin zu. > Ich habe Ihn noch offen, falls jemand selbst testen möchte. (in > meinen Hetzner Firewall Einstellungen) Eingehend scheint es funktioniert zu haben. > Demnach blockt Hetzner in dem Fall noch irgendwo etwas. > Wen es jetzt unabdingbar ist, dass der Port offen sein muss, dann > muss ich wohl nochmal dem Support schreiben. > Ausgehend? IIRC blockt Hetzner bei den Cloud-Systemen Port 25 bis man die erste Rechnung bezahlt hat oder so. Viele Grüße Björn From max at freecards.de Sat Sep 28 11:07:37 2024 From: max at freecards.de (Markus Heinze) Date: Sat, 28 Sep 2024 11:07:37 +0200 Subject: Mails werden abgelehnt In-Reply-To: <6dd232ee-a74b-478a-9a2e-c82972085e51@schafweide.org> References:

<33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> <6dd232ee-a74b-478a-9a2e-c82972085e51@schafweide.org> Message-ID: Moin, Am 28.09.2024 um 08:59 schrieb Bjoern Franke via Postfixbuch-users: > >> Daher den Port dann auch zu gelassen. >> >> Jedoch habe ich ihn zum Test vor Stunden geöffnet und eben nochmal >> mit nmap getestet, er ist weiterhin zu. >> Ich habe Ihn noch offen, falls jemand selbst testen möchte. (in >> meinen Hetzner Firewall Einstellungen) > > Eingehend scheint es funktioniert zu haben. > >> Demnach blockt Hetzner in dem Fall noch irgendwo etwas. >> Wen es jetzt unabdingbar ist, dass der Port offen sein muss, dann >> muss ich wohl nochmal dem Support schreiben. >> > > Ausgehend? IIRC blockt Hetzner bei den Cloud-Systemen Port 25 bis man > die erste Rechnung bezahlt hat oder so. > Hmm ich habe seit ca. 15 Jahren Server dort, nun meist Cloud Instanzen das gabs noch nie das da was geblockt wurde. Einzig man benutzt die Standard Firwall die lässt per default nur Port 22 und ICMP durch > Viele Grüße > Björn lg From nico.funke at spun-industries.de Sat Sep 28 21:44:02 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sat, 28 Sep 2024 21:44:02 +0200 Subject: Mails werden abgelehnt In-Reply-To: References:

<33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> <6dd232ee-a74b-478a-9a2e-c82972085e51@schafweide.org> Message-ID: <79703590-9ce6-47d2-8f47-59b1e8a22f10@spun-industries.de> Ich verstehe das eben auch nicht. Auch weil das ja RFC Standards verletzen würde wenn man keine Mails empfängt. Und auch wem das "egal" wäre, würde mir kein Projekt einfallen bei welchem der Empfang nicht nötig ist. Ich habe eben den Support angeschrieben und um eine Prüfung bzw. Aufklärung gebeten. Die arbeiten jedoch erst Montag wieder. Wenn ich eine Antwort habe, werde ich euch informieren. Danke an alle bis hierher welche mit geschaut haben. Best, Am 28.09.24 um 11:07 schrieb Markus Heinze via Postfixbuch-users: > Moin, > > Am 28.09.2024 um 08:59 schrieb Bjoern Franke via Postfixbuch-users: >> >>> Daher den Port dann auch zu gelassen. >>> >>> Jedoch habe ich ihn zum Test vor Stunden geöffnet und eben nochmal >>> mit nmap getestet, er ist weiterhin zu. >>> Ich habe Ihn noch offen, falls jemand selbst testen möchte. (in >>> meinen Hetzner Firewall Einstellungen) >> >> Eingehend scheint es funktioniert zu haben. >> >>> Demnach blockt Hetzner in dem Fall noch irgendwo etwas. >>> Wen es jetzt unabdingbar ist, dass der Port offen sein muss, dann >>> muss ich wohl nochmal dem Support schreiben. >>> >> >> Ausgehend? IIRC blockt Hetzner bei den Cloud-Systemen Port 25 bis man >> die erste Rechnung bezahlt hat oder so. >> > Hmm ich habe seit ca. 15 Jahren Server dort, nun meist Cloud Instanzen > das gabs noch nie das da was geblockt wurde. Einzig man benutzt die > Standard Firwall die lässt per default nur Port 22 und ICMP durch > > >> Viele Grüße >> Björn > > > lg > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ml at irmawi.de Sat Sep 28 22:04:37 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 28 Sep 2024 22:04:37 +0200 Subject: Mails werden abgelehnt In-Reply-To: <79703590-9ce6-47d2-8f47-59b1e8a22f10@spun-industries.de> References:

<33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> <6dd232ee-a74b-478a-9a2e-c82972085e51@schafweide.org> <79703590-9ce6-47d2-8f47-59b1e8a22f10@spun-industries.de> Message-ID: <84bbf75d-7131-4fe2-8e6f-2e514e885461@irmawi.de> Nabend Nico, On 28.09.24 21:44, Nico Funke via Postfixbuch-users wrote: > Ich habe eben den Support angeschrieben und um eine Prüfung bzw. > Aufklärung gebeten. > Die arbeiten jedoch erst Montag wieder. > > Wenn ich eine Antwort habe, werde ich euch informieren. ich kann erst jetzt hier wieder reinschauen und hoffe, ich habe im Thread nix übersehen - aber zumindest momentan erreiche ich Deinen Server auf Port 25 ohne Probleme: $ telnet mail.anarchydica.net 25 Trying 157.90.241.184... Connected to mail.anarchydica.net. Escape character is '^]'. 220 core.anarchydica.net ESMTP Postfix (Debian/GNU) [...] Und: $ openssl s_client -connect mail.anarchydica.net:25 -starttls smtp Connecting to 157.90.241.184 CONNECTED(00000003) depth=2 OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign verify return:1 depth=1 C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 DV TLS CA 2020 verify return:1 depth=0 CN=anarchydica.net verify return:1 [...] SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: [...] read R BLOCK ehlo foo 250-core.anarchydica.net 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH PLAIN 250-AUTH=PLAIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-DSN 250-SMTPUTF8 250 CHUNKING --- snip --- Nur so als Feedback. Viele Grüße Markus From Daniel at Mail24.vip Sat Sep 28 22:16:48 2024 From: Daniel at Mail24.vip (Daniel) Date: Sat, 28 Sep 2024 22:16:48 +0200 Subject: AW: Mails werden abgelehnt In-Reply-To: <84bbf75d-7131-4fe2-8e6f-2e514e885461@irmawi.de> References:

<33f9a363-1a51-4725-a723-a315b202786b@spun-industries.de> <6dd232ee-a74b-478a-9a2e-c82972085e51@schafweide.org> <79703590-9ce6-47d2-8f47-59b1e8a22f10@spun-industries.de> <84bbf75d-7131-4fe2-8e6f-2e514e885461@irmawi.de> <004d01db11e3$5911d1b0$0b357510$@Mail24.vip> Message-ID: <0a96b193-abab-45ab-9ec4-456e3ef70550@spun-industries.de> Nabend zusammen, Moment... Grundsätzlich geht es in der Tat auch erst mal nur über die Erreichbarkeit. Ansonsten habe ich nichts wirklich konfiguriert. Jedoch konnten mehrere bestätigen, dass sie über nmap keinen Zugriff haben. Auch habe ich eben nochmal getestet und es wird "filtered" ausgegeben. Nach einem Neustart vom Thunderbird kommen jedoch wirklich Mails rein. Das mag jetzt an mir - warum auch immer - gelegen haben. Jedoch hat Björn mir 08:59Uhr hier über den Verteiler geschrieben das er mir eine Mail senden konnte. Die ist bei mir 11:15Uhr (Zeitstempel) eingetroffen. Eine Testmail von eben kam umgehend an. Da es aber funktioniert, jetzt mit dem irgendwie offenen Port, auch wenn ich mir die restlichen Umstände nicht erklären kann, werde ich das mal beobachten und dann kann ich weiter konfigurieren, da ich nun weiß, dass Mail ankommen. Ich habe keine Ahnung wie ich das erklären soll. Nun, danke euch für die rege Hilfe und die Tests. Ich weiß echt nicht wie ich danken soll. Danke! Best, Am 28.09.24 um 22:16 schrieb Daniel via Postfixbuch-users: > Port ist wie erwähnt wurde inzwischen erreichbar, über die angebotenen TLS kann man streiten, aber vom Ding her erstmal verfügbar. > > https://www.hardenize.com/report/anarchydica.net/1727548503#email > > Gruß Daniel > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL :