Postfix empfängt externe E-Mails unverschlüsselt

[McDonalas]

Hallo,
ich habe das Problem, dass eingehende Nachrichten von außen (über Postfix) nicht verschlüsselt werden.

Im Quelltext steht lediglich:

Received: ...
by mail.d.de (Postfix) with SMTP id 0CXXXXXXX

anstelle von:

Received: from ...
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(No client certificate requested)
by mail.d.de (Postfix) with ESMTPSA id 2CXXXXXXXX


Bei internen E-Mails funktioniert es einwandfrei und ich weiß, dass bei den Absendern der E-Mails von außen serverseitig alles richtig läuft.

Mein Zertifikat stammt von StartSSL (scheint sonst auch zu funktionieren) und beim einrichten bin ich so Vorgegangen: https://gerritbeine.com/blog/2014/02/21/postfix-und-dovecot-mit-startssl-zertifikaten/

Zu erwähnen ist, dass wenn ich smtpd_tls_security_level = encrypt (anstatt may) einstelle, ich keine E-Mails mehr empfangen kann. Der Absender bekommt lediglich die Fehlermeldung: 5.7.0 Must issue a STARTTLS command first

Meine TLS configs:

### TLS settings
###
## TLS for outgoing mails from the server to another server
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtp_tls_cert_file = /etc/ssl/private/mail.d.chain.pem
smtp_tls_key_file = /etc/ssl/private/mail.d.key
smtp_tls_CAfile = /etc/ssl/private/ca.pem
## TLS for email client
#smtpd_tls_req_ccert = yes
smtpd_tls_auth_only = yes
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/ssl/private/mail.d.chain.pem
smtpd_tls_key_file = /etc/ssl/private/mail.d.key
smtpd_tls_CAfile = /etc/ssl/private/ca.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes

Ich würde mich über Ratschläge freuen.

Mit freundlichen Grüßen

McDonalas

 

[TerraX]

Das Problem liegt dann vermutlich auf der Gegenseite (also beim einliefernden Server). Der muss von Haus aus TLS-Verbindungen bevorzugen. Ist er nicht entsprechend konfiguriert, wird die SMTP-Verbindung eben unverschlüsselt aufgebaut.

Da kannst Du nix machen.

 

[GwenDragon]

An deinen Server einliefernde fremde Mailserver benutzen TLS über Port 25 oder nicht; das lässt sich nicht erzwingen.

Eigentlich klappt sowas mit TLS (sIehe Log):
Jan 9 16:34:01 server3 postfix/smtpd[19641]: Anonymous TLS connection established from mout.gmx.net[212.227.15.18]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

 

[McDonalas]

Ich habe bereits 2 größere "Anbieter" probiert und es hat nicht hingehauen.

Da ich leider keinen weiteren Postfix Server habe und meine E-Mail ungern hier veröffentlichen würde, wäre es nett wenn jemand zum testen mich per PM anschreiben könnte, so dass man es eben von einem 100% richtig konfigurierten Server probieren kann.

 

[d4f]

Es gibt einen Dienst um genau diesen Test inklusive Analyseinformationen durch zu führen:
http://www.checktls.com/tests.html

 

[GwenDragon]

Schon daran gedacht den Loglevel (smtpd_tls_loglevel) von Postfix zu erhöhen und dann nachzusehen was im Log drin ist?
http://www.postfix.org/TLS_README.html#server_logging

Es muss doch einen Grund geben warum keine Verbindung zustande kommt.

 

[Joe User]

Diese zwei Zeilen komplett rausnehmen:

smtp_tls_cert_file = /etc/ssl/private/mail.d.chain.pem
smtp_tls_key_file = /etc/ssl/private/mail.d.key

Diese Zeile auf das CA-Cert-Bundle Deiner Distribution setzen:

smtp_tls_CAfile = /etc/ssl/private/ca.pem

Zusätzlich bitte mal die Doku lesen, das hätte diese Fehlkonfiguration verhindert.

 

[TerraX]

Hmm, Deine Antwort verstehe ich nicht ganz, Joe. Laut Doku müsste ich doch die privaten Keyfiles mit einbinden, um TLS mit Postfix machen zu können?

 

[Joe User]

smtp_* != smtpd_*
oder auf deutsch
Empfang != Versand

 

[TerraX]

Danke für den Tip! Jetzt hab' ich endlich kapiert und werde mir die Doku unter dem Gesichtspunkt nochmal genauer zu Gemüte führen.

 

[McDonalas]

Hallo,
erstmal danke für die zahlreichen Antworten, anscheinend hattet ihr recht. Das liegt am Server der Absenders.
Laut http://www.checktls.com/tests.html läuft alles bestens, außerdem habe ich mir jetzt eine E-Mail von GMX senden lassen und siehe da es funktioniert!

@Joe:
1. Wo finde ich das CA-Cert-Bundle? Ich kenne höchstens den Ordner etc/ssl/certs.
2. Bitte nicht schlagen: Wo finde ich die "Doku"?

 

[GwenDragon]

Zu 2.
man postfix
oder
http://www.postfix.org/documentation.html

 

[Joe User]

1. Wo finde ich das CA-Cert-Bundle? Ich kenne höchstens den Ordner etc/ssl/certs.

Das hängt von Deiner Distribution und deren Paketen ab. Üblicherweise nutzten die Distributionen http://mxr.mozilla.org/mozilla-central/source/security/nss/lib/ckfw/builtins/certdata.txt beziehungsweise https://hg.mozilla.org/releases/moz...t/security/nss/lib/ckfw/builtins/certdata.txt als Grundlage und bauen daraus ein Paket, welches dann Mozilla-NSS-CACert-Bundle oder ähnlich genannt wird. Dieses Paket musst Du installieren und dann den entsprechenden Pfad zum Bundle in der Config angeben.