Apple Mail und Mailserver

Gerald Galster list+postfixbuch at gcore.biz
Mi Sep 18 04:01:45 CEST 2024


> danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet über diese.
> Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht stimmt.
> dig leicht.info MX
> leicht.info.            21600   IN      MX      10 wwl10.leicht.info.
> dig schani.com MX
> leicht.info.            21600   IN      MX      10 wwl10.leicht.info.

Bitte schau nochmal genau nach, hier liegt wirklich ein Problem vor:

$ host -t mx schani.com
schani.com mail is handled by 10 wwl10.leicht.info.

Die MX-Host ist wwl10.leicht.info, so weit so gut.

Verbinden wir mal dorthin:

$ openssl s_client -connect wwl10.leicht.info:25 -starttls smtp -debug -verify 5 -showcerts
verify depth is 5
CONNECTED(00000003)
...
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Dieses Zertifikat (das erste in der Kette) übergibst Du per
copy & paste an openssl, um die notwenigen Daten zu erhalten:

$ openssl x509 -text
<copy & paste einfügen>

Ergibt:

        Issuer: C=US, O=Let's Encrypt, CN=R11
        Validity
            Not Before: Aug  8 21:29:04 2024 GMT
            Not After : Nov  6 21:29:03 2024 GMT
        Subject: CN=leicht.info
        ...
        X509v3 Subject Alternative Name: 
            DNS:leicht.info
        ...

--> Das Zertifikat hört ausschließlich auf leicht.info, es müsste
aber (auch) auf wwl10.leicht.info hören.

--> Dadurch kann das Zertifikat nicht verifiziert werden:

  posttls-finger: server certificate verification failed for
  wwl10.leicht.info[142.132.211.104]:25: num=62:hostname mismatch


> Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay".
> Na ja ist er nicht. https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage
> 
> Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich teste jetzt alles durch und optimiere weiter.

Das kann passieren. Manchmal haben die Autoren solcher Tools in Bezug auf SSL auch andere Vorstellungen als die Postfix-Maintainer.

> Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen nicht allzu aufschlussreich sind. Besonders bei Rspamd
> 
> Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud hängen und die mischt sich immer wieder ein und überschreibt neu angelegte Passwörter.

Das ist seltsam. In der Regel sollten neue Passwörter über den Schlüsselbund auf alle Geräte synchronisiert werden.
In den Einstellungen unter iCloud kann man auch abschalten, dass Passwörter (Schlüsselbund) synchronisiert werden.

iOS 18 ist ganz frisch veröffentlich worden. Dort gibt es jetzt ein "Passwörter"-App von Apple, mit der man Passwörter auch anzeigen kann.

> Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter können nicht emailen.

Und Du bist sicher, dass das über iCloud geht und die Firma nicht ein MDM-System (Mobile Device Management) hat, das die iPhones konfiguriert?

> Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit falschen Passwörtern und EmailAdressen.

Schau Dir das eine Zeit lang an, evtl. komm diese Anfragen immer aus dem selben Subnetz, dann kannst Du in fail2ban dafür eine Ausnahme hinzufügen.

Viele Grüße
Gerald

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240918/a76053e8/attachment-0001.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users