<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><div><blockquote type="cite"><div><div>danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet über diese.<br>Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht stimmt.<br>dig leicht.info MX<br>leicht.info. 21600 IN MX 10 wwl10.leicht.info.<br>dig schani.com MX<br>leicht.info. 21600 IN MX 10 wwl10.leicht.info.<br></div></div></blockquote><div><br></div><div>Bitte schau nochmal genau nach, hier liegt wirklich ein Problem vor:</div><div><br></div><div><div>$ host -t mx schani.com</div><div>schani.com mail is handled by 10 wwl10.leicht.info.</div><div><br></div><div>Die MX-Host ist <span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">wwl10.leicht.info, so weit so gut.</span></div><div><font color="#000000"><span style="caret-color: rgb(0, 0, 0);"><br></span></font></div><div><font color="#000000"><span style="caret-color: rgb(0, 0, 0);">Verbinden wir mal dorthin:</span></font></div><div><font color="#000000"><span style="caret-color: rgb(0, 0, 0);"><br></span></font></div><div><font color="#000000"><div style="caret-color: rgb(0, 0, 0);">$ openssl s_client -connect wwl10.leicht.info:25 -starttls smtp -debug -verify 5 -showcerts</div><div style="caret-color: rgb(0, 0, 0);">verify depth is 5</div><div style="caret-color: rgb(0, 0, 0);">CONNECTED(00000003)</div><div style="caret-color: rgb(0, 0, 0);">...</div><div style="caret-color: rgb(0, 0, 0);"><div>-----BEGIN CERTIFICATE-----</div><div>MIIF5jCCBM6gAwIBAgISA+YKg3DFQDkZQJPyZuIVS8+2MA0GCSqGSIb3DQEBCwUA</div><div>MDMxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQwwCgYDVQQD</div><div>EwNSMTEwHhcNMjQwODA4MjEyOTA0WhcNMjQxMTA2MjEyOTAzWjAWMRQwEgYDVQQD</div><div>EwtsZWljaHQuaW5mbzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAJeW</div><div>1np9Wd5OpL4eICa7dYD+u1WwpvlmVJetkL+b4w22AHjlZnWkDPAYupPQUfxuYD5P</div><div>iyxKvjU52zvOVHVrlgq8nxjtAvFXLGdYUylEE0IMuKl6InGXd2vL/DUnk9fUOLzN</div><div>rhuDFxK6gpNtFM4/nL3kq/6T+YJkLhsniqemUQ47mjGDdtncDCCG6WEgTqomuSPc</div><div>0UR1DtWAcVX/cKBLutJLXijpUawJXGQvI+1CLKd8cjGaGriCjRR164wzsyxSyOoD</div><div>v4ARGhJsF7vYWkACEy4kVLLPsRA/7avDQ+hYxBo+P12r9yuSnlddca7AnTLJ6AYp</div><div>pEbKKdyg1qRnIHcVdR3DVF/LVE+5RoAaeaUEy2aCmxDhbiahXM8LhL2qIOi89mUb</div><div>2/L+0yGX3Y2mC7jzZnkvArIQUCyz7jU5kyb3khABF+wUkcuYzfv+pE6EeUHi4g0w</div><div>NpJnAx4MOBn2ox5VqaW+dSYrVXpwM2KVM/RjxlpYbrM+9PbXWIBCrVfYI9cVixY8</div><div>oxNGm0/IuxR0DFf9scCCrlOCYIISepVj1AP2lEMn6mkxg7/IXMjv3q5TzL51RGaH</div><div>T+Cmxm6e7yDp5sWKFqWHlEvftIvlZSV7k6jgnlWquilhfDUIW8DNP7osprQjAh5W</div><div>NzzrV2wkNNN2QmuQcXs7zoYKHpLzBnuanaXWttIjAgMBAAGjggIPMIICCzAOBgNV</div><div>HQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMAwGA1Ud</div><div>EwEB/wQCMAAwHQYDVR0OBBYEFJ61oun2U5i2a5n1Z4RIMO2yBcJXMB8GA1UdIwQY</div><div>MBaAFMXPRqTq9MPAemyVxC2wXpIvJuO5MFcGCCsGAQUFBwEBBEswSTAiBggrBgEF</div><div>BQcwAYYWaHR0cDovL3IxMS5vLmxlbmNyLm9yZzAjBggrBgEFBQcwAoYXaHR0cDov</div><div>L3IxMS5pLmxlbmNyLm9yZy8wFgYDVR0RBA8wDYILbGVpY2h0LmluZm8wEwYDVR0g</div><div>BAwwCjAIBgZngQwBAgEwggEEBgorBgEEAdZ5AgQCBIH1BIHyAPAAdQAZmBBxCfDW</div><div>Ui4wgNKeP2S7g24ozPkPUo7u385KPxa0ygAAAZE0GsHjAAAEAwBGMEQCIFTrpfqV</div><div>s3a1nw+KvjQRlzUDYcan9kIByPkN+R5vn1JOAiBbr7AZICMpT4bsQv7Pb7StJGcP</div><div>KOPZWHcPfynkix7T/QB3AEiw42vapkc0D+VqAvqdMOscUgHLVt0sgdm7v6s52IRz</div><div>AAABkTQawc8AAAQDAEgwRgIhAPi9cV62HRzKi/F9XFhQWLl9MFoXcTe4Ou2YHimd</div><div>pvOkAiEAyJQnk1B9gHcenHyPiZh+CJq6Ejh99vo985paSCtl6mQwDQYJKoZIhvcN</div><div>AQELBQADggEBAGADIX27MgyBqzhnjba6vqgzMruUMIOmpBn8W0BbdOFEhIaJ0nLd</div><div>P8G3IPxb+ihwAZKOMRXfeZwnRFNIOkmFUwSLiMJqMqDexThzDIqtHOIo0m8OqI7W</div><div>esEdxyD4AzrpzgSxYa8gLWhw+CnHzE2s8i5aU+M9zlC4PbyimtC7JpkuanUWvEQz</div><div>IB95kvLJYuTTuca4jelWvRwh4UfWmsyGHZK80SQp7do79SDCPQ7jVgMfCsnclG+r</div><div>7RffVcaAo5n3fq16RjU1AQ5fAGQ7lsFLo5v0VwNCBG+dvYnfWSkM9tesDyo6RNgm</div><div>5jID+64QKSlmiWgenYnVcMNSHTHmcGQ/Mfk=</div><div>-----END CERTIFICATE-----</div></div><div style="caret-color: rgb(0, 0, 0);"><br></div><div style="caret-color: rgb(0, 0, 0);">Dieses Zertifikat (das erste in der Kette) übergibst Du per</div><div style="caret-color: rgb(0, 0, 0);">copy & paste an openssl, um die notwenigen Daten zu erhalten:</div><div style="caret-color: rgb(0, 0, 0);"><br></div><div style="caret-color: rgb(0, 0, 0);">$ openssl x509 -text</div><div style="caret-color: rgb(0, 0, 0);"><copy & paste einfügen></div><div style="caret-color: rgb(0, 0, 0);"><br></div><div style="caret-color: rgb(0, 0, 0);">Ergibt:</div><div style="caret-color: rgb(0, 0, 0);"><div><br></div><div> Issuer: C=US, O=Let's Encrypt, CN=R11</div><div> Validity</div><div> Not Before: Aug 8 21:29:04 2024 GMT</div><div> Not After : Nov 6 21:29:03 2024 GMT</div><div> Subject: CN=leicht.info</div></div><div style="caret-color: rgb(0, 0, 0);"> ...</div><div style="caret-color: rgb(0, 0, 0);"> X509v3 Subject Alternative Name: </div><div style="caret-color: rgb(0, 0, 0);"> DNS:leicht.info</div><div style="caret-color: rgb(0, 0, 0);"> ...</div><div style="caret-color: rgb(0, 0, 0);"><br></div><div style="caret-color: rgb(0, 0, 0);">--> Das Zertifikat hört ausschließlich auf leicht.info, es müsste</div><div>aber (auch) auf wwl10.leicht.info hören.</div><div><br></div><div>--> Dadurch kann das Zertifikat nicht verifiziert werden:</div><div><br></div><div> posttls-finger: server certificate verification failed for</div><div> wwl10.leicht.info[142.132.211.104]:25: num=62:hostname mismatch</div><div><br></div><div><br></div></font></div></div><blockquote type="cite"><div><div>Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay".<br>Na ja ist er nicht. https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage<br><br>Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich teste jetzt alles durch und optimiere weiter.<br></div></div></blockquote><div><br></div><div>Das kann passieren. Manchmal haben die Autoren solcher Tools in Bezug auf SSL auch andere Vorstellungen als die Postfix-Maintainer.</div><br><blockquote type="cite"><div><div>Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen nicht allzu aufschlussreich sind. Besonders bei Rspamd<br><br>Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud hängen und die mischt sich immer wieder ein und überschreibt neu angelegte Passwörter.</div></div></blockquote><div><br></div><div>Das ist seltsam. In der Regel sollten neue Passwörter über den Schlüsselbund auf alle Geräte synchronisiert werden.</div><div>In den Einstellungen unter iCloud kann man auch abschalten, dass Passwörter (Schlüsselbund) synchronisiert werden.</div><div><br></div><div>iOS 18 ist ganz frisch veröffentlich worden. Dort gibt es jetzt ein "Passwörter"-App von Apple, mit der man Passwörter auch anzeigen kann.</div><br><blockquote type="cite"><div><div>Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter können nicht emailen.<br></div></div></blockquote><div><br></div><div>Und Du bist sicher, dass das über iCloud geht und die Firma nicht ein MDM-System (Mobile Device Management) hat, das die iPhones konfiguriert?</div><br><blockquote type="cite"><div><div>Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit falschen Passwörtern und EmailAdressen.<br></div></div></blockquote><div><br></div><div>Schau Dir das eine Zeit lang an, evtl. komm diese Anfragen immer aus dem selben Subnetz, dann kannst Du in fail2ban dafür eine Ausnahme hinzufügen.</div><div><br></div><div>Viele Grüße</div><div>Gerald</div><div><br></div></div></body></html>