SPF / Google Spam

[MachineHead]

Hallo zusammen,

ich habe 2 Domains auf einem Server verwaltet durch Virtualmin am laufen.

Sagen wir die Domains sind abc.de und xyz.de. Der FQDN des Servers ist srv.abc.de

Versende ich eine E-mail mit sender@abc.de google klappt dies problemlos:

Received: from srv.abc.de (srv.abc.de. [123.123.123.123])
by mx.google.com with ESMTP id dp5si9921050wib.80.2015.08.12.00.14.14
for <empfaenger@gmail.com>;
Wed, 12 Aug 2015 00:14:14 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of sender@abc.de designates 123.123.123.123 as permitted sender) client-ip=123.123.123.123;
Authentication-Results: mx.google.com;
spf=pass (google.com: best guess record for domain of sender@abc.de designates 123.123.123.123 as permitted sender) smtp.mailfrom=sender@abc.de


Versende ich nun mit sender@xyz.de erhalte ich folgendes:

Received: from srv.abc.de (srv.abc.de. [123.123.123.123])
by mx.google.com with ESMTP id r2si3722645lae.66.2015.08.12.02.42.19
for <empfaenger@gmail.com>;
Wed, 12 Aug 2015 02:42:19 -0700 (PDT)
Received-SPF: neutral (google.com: 123.123.123.123 is neither permitted nor denied by best guess record for domain of sender@xyz.de) client-ip=123.123.123.123;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 123.123.123.123 is neither permitted nor denied by best guess record for domain of sender@xyz.de) smtp.mailfrom=sender@xyz.de


Nun will ich den SPF über einen TXT Record in meinen Domaineinstellungen für xyz.de setzen, bin aber am verzweifeln, wie ich das machen soll. Über einen Generator (http://www.spfwizard.net/) habe ich folgenden Eintrag generiert: xyz.de. IN TXT "v=spf1 mx a a:srv.abc.de"
In den DNS-Einstellungen habe ich die möglichkeit einen Host, den Typ und die Destination anzugeben. Was genau muss ich machen?

Hintergrund ist, dass ich mit xyz.de im Spam bei Google lande.

LG,
MachineHead

 

[MadMakz]

Host wird das Feld für Subdomains sein. Je nach Anbieter lässt man das Feld leer, setzt einen Punkt oder ein @ um den Eintrag für "root" Domain zu setzen.

Typ für SPF ist TXT.

"Destination" wird höchstwahrscheinlich das Feld für den entsprechend zu verknüpfenden Eintrag sein, also v=spf1 mx a a:srv.abc.de

"Host"  "Typ"      "Destination"
xyz.de   TXT   v=spf1 mx a a:srv.abc.de

 

[MachineHead]

Hat funktioniert, SPF ist nun pass. Problem waren die Anführungsstriche bei "v=spf1 mx a a:srv.abc.de". Leider lande ich immer noch im Spam bei Google, aber das ist wohl ein anderes Thema.
Vielen Dank erstmal

 

[florian030]

Wenn die Mails als Spam behandelt werden, liegt das meistens am SPF oder PTR-Record. Du könntest auch mal versuchen, ob DKIM Dir mehr bringt.

http://blog.schaal-24.de/mail/emails-richtig-versenden/

 

[MachineHead]

Hey,
DKIM und SPF sind nun korrekt. Bei https://www.mail-tester.com/ habe ich 10/10
Auch rDNS ist richtig. Ich schaue mir den Blog nochmal an.

 

[Joe User]

Versuchs mal mit

"Host"   "Type"   "Destination"
          TXT      v=spf1 a mx -all

Ansonsten kann es auch ein penalty wegen mangelndem TLS sein.

 

[MachineHead]

Ok, die Sachen aus dem Blog habe ich mir angeschaut - das ist soweit alles korrekt.
Meint SPF Eintrag sieht aktuell wie folgt aus:

"Host"   "Type"   "Destination"
  @       TXT      v=spf1 a mx ip4:123.123.123.123 ~all

Ich entferne mal die IP und ändere das Präfix von Tilde auf den Bindestrich.

 

[Joe User]

In dem Blogpost stimmen lediglich der erste Absatz von Punkt 1 und Punkt 3, der Rest ist mit Verlaub Bullshit.

PTR/rDNS muss gemäss RFC dem Hostnamen entsprechen und hat absolut gar nichts mit dem HELO/Mailservernamen zu tun. Letzterer muss lediglich per A-Record auflösbar sein und zur Zone der Domain gehören.

inet_interfaces und smtp_bindaddress[6] spielen hier ebenfalls keinerlei Rolle, ausser der in postconf(5) beschriebenen.

 

[MachineHead]

hm ok Hast du noch eine Idee was ich prüfen könnte?

Was genau meinst du mit penalty wegen mangelndem TLS?

Das komische ist ja das es mit Domain abc.de geht, mit xyz.de nicht.

 

[Joe User]

Wie ich schon anmerkte, solltest Du erstmal TLS vernünftig konfigurieren und im TXT-Record den Host-Teil leer lassen. Wenn Du das erledigt hast, dann poste bitte nochmal einen unverfälschten kompletten Mailheader.

Darüberhinaus wäre interessant was Google genau an den Mails auszusetzen hat beziehungsweise ob die Domain bei Google auf einer internen Blacklist gelandet ist.

Notfalls hilft es auch, die jeweils letzte im Spamordner gelandete Mail per Webinterface als "nicht Spam" zu markieren, dann sollten nachfolgende Mails des Absenders nicht mehr im Spamordner landen. Das müsste allerdings von jedem einzelnen Empfänger manuell vorgenommen werden, ist also nicht sonderlich hilfreich.

 

[Joe User]

Wenn Alles korrekt ist, dann sollte die Mail in etwa so aussehen:

Delivered-To: noreply@gmail.com
Received: by 10.194.38.34 with SMTP id d2csp924617wjk;
        Thu, 13 Aug 2015 07:28:55 -0700 (PDT)
X-Received: by 10.194.5.103 with SMTP id r7mr76742174wjr.47.1439476135598;
        Thu, 13 Aug 2015 07:28:55 -0700 (PDT)
Return-Path: <noreply@rootservice.org>
Received: from mail.rootservice.org (devgate.rootservice.org. [2a01:4f8:200:1468::2])
        by mx.google.com with ESMTPS id oy5si4279355wjb.140.2015.08.13.07.28.55
        for <noreply@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Thu, 13 Aug 2015 07:28:55 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply@rootservice.org designates 2a01:4f8:200:1468::2 as permitted sender) client-ip=2a01:4f8:200:1468::2;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@rootservice.org designates 2a01:4f8:200:1468::2 as permitted sender) smtp.mailfrom=noreply@rootservice.org
Received: from devnoip.rootservice.org (host.isp.tld [127.127.127.127])
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by mail.rootservice.org (Postfix) with ESMTPSA id 3msVdL1z1cz8vYRW
	for <noreply@gmail.com>; Thu, 13 Aug 2015 16:28:53 +0200 (CEST)
Reply-To: noreply@rootservice.org
To: Joe User <noreply@gmail.com>
From: Joe User <noreply@rootservice.org>
Subject: test
Date: Thu, 13 Aug 2015 16:28:06 +0200
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit
Message-Id: <3msVdH4rL2z62Y7@devnoip.rootservice.org>

-ignore-

 

[florian030]

PTR/rDNS muss gemäss RFC dem Hostnamen entsprechen und hat absolut gar nichts mit dem HELO/Mailservernamen zu tun.

Soso... und wenn der hostname mal nicht identisch mit myhostname von postfix ist?

 

[Joe User]

Wie Du an meinem Header sehen kannst, ist das völlig Wurscht.

Die Bezeichnung der Option myhostname ist leider suboptimal gewählt, da sie nichts mit dem Hostname zu tun hat, sie hätte besser mymailname heissen sollen.

myhostname ist der FQDN des SMTPd (Postfix), also des Dienstes.
Der Hostname hingegen ist der eindeutige Name des Hosts, also der physischen/virtuellen Maschine und sollte grundsätzlich keinem Dienst zugeordnet werden.


Beispiel aus der Praxis und obigem Header:
Hostname und PTR Server: devgate.rootservice.org
Mailname/myhostname: mail.rootservice.org
Hostname Client: devnoip.rootservice.org

Exakt so ist es nicht nur RFC-konform, sondern von den RFC so gar gefordert.
Macht man es wie in dem Blogpost, verstösst man gegen RFC und braucht sich über mögliche Inkompatibilitäten und damit verbundene Probleme nicht wundern.

Die RFC existieren nicht grundlos...

 

[MachineHead]

...
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
...
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
...

Diese Angaben kommen in meiner Mail nicht vor. Wenn ich mit 1234.de versende ist es korrekt, also kann es nicht am fehlerhaften TLS liegen, oder?Hier mal eine komplette Mail von mir:

Delivered-To: machinehead@gmail.com
Received: by 10.28.29.11 with SMTP id d11csp885613wmd;
        Fri, 14 Aug 2015 00:58:28 -0700 (PDT)
X-Received: by 10.152.26.163 with SMTP id m3mr41740580lag.86.1439539108169;
        Fri, 14 Aug 2015 00:58:28 -0700 (PDT)
Return-Path: <rapha@1234.de>
Received: from foo.1234.de (foo.1234.de. [85.10.208.100])
        by mx.google.com with ESMTP id y8si8641495wjq.143.2015.08.14.00.58.27
        for <machinehead@gmail.com>;
        Fri, 14 Aug 2015 00:58:28 -0700 (PDT)
Received-SPF: pass (google.com: domain of rapha@1234.de designates 85.10.208.100 as permitted sender) client-ip=85.10.208.100;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of rapha@1234.de designates 85.10.208.100 as permitted sender) smtp.mailfrom=rapha@1234.de;
       dkim=pass header.i=@1234.de
Received: from a.local (unknown [1.1.1.1])
	by foo.1234.de (Postfix) with ESMTPSA id 2BC7A9C031C
	for <machinehead@gmail.com>; Fri, 14 Aug 2015 09:58:28 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=1234.de; s=2015;
	t=1439539108; bh=fdkeB/A0FkbVP2k4J4pNPoeWH6vqBm9+b0C3OY87Cw8=;
	h=To:From:Subject:Date:From;
	b=LhFdCczjHHZPwojaTfA7WJBymbsZ/ZJ7fDGSquC/0AhSnBvDHsGa2UvyZn8Ni4GHM
	 ys7lsNepr922VKFFfbKSARJiGdNv4bjMXcGi68gTk3aqNq5QWj08wwRzq6K71CtVHP
	 v1vszFdxARKooWrnZeaKlQBJ7MVaUKWfONfx3Es/8vWJMjKuJVN9vdNG+nbwhLotdX
	 aNQm39Wm/DxF9PmxphmlJaRJLLzuNhzIs3WAwiTr+KIZB3ymb6Eyc7w5lIHG6YBOQo
	 DG7UWcmBljx7zEP/BPkG4u+snZiuf1U8Un0EljKR/2G/qZkGt2UVkiLidWPW7fFHhF
	 Dza1IBExZZvww==
To: machinehead@gmail.com
From: Raphael Brede <rapha@rbash.de>
Subject: Test
Message-ID: <55CD9FA3.2070008@rbash.de>
Date: Fri, 14 Aug 2015 09:58:27 +0200
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit

Test

 

[Joe User]

Der Header sieht jetzt sauber aus, daher würde ich vorsichtig auf interne Blacklists bei Google tippen. Irgendwo in dem Hilfebereich bei Google/Gmail gibt es eine Anleitung wie man bei Google ein Delisting beantragen kann, bitte mal danach suchen und durcharbeiten.
Ansonsten hilft halt nur das Markieren als "kein Spam" über das Webinterface bei jedem einzelnen Empfänger und/oder das Aufnehmen der Senderadresse in die Kontaktliste der Empfänger.


Zum TLS poste doch bitte mal Deine main.cf und master.cf (ohne die Kommentarzeilen).

 

[MachineHead]

Ja, "kein Spam" markieren wäre möglich, ist aber nicht Sinn und Zweck der Sache. Ich werde mal bei Google anfragen.

Wobei ich es mir auch nur schwer vorstellen kann, dass die Domains auf der Blacklist stehen. Es betrifft immer Domains bei denen die "Sender-Domain" nicht gleich "Sender-Server" ist.

Meine main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
smtpd_tls_cert_file = /etc/postfix/postfix.cert.pem
smtpd_tls_key_file = /etc/postfix/postfix.key.pem
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = foo.1234.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = foo.1234.de, localhost.1234.de, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
mailbox_size_limit = 0
recipient_delimiter = +
virtual_alias_maps = hash:/etc/postfix/virtual
sender_bcc_maps = hash:/etc/postfix/bcc
home_mailbox = Maildir/
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
allow_percent_hack = no
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = high
milter_default_action = accept
milter_protocol = 2
mydomain = 1234.de
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Meine master.cf

smtp    inet    n       -       -       -       -       smtpd -o smtpd_sasl_auth_enable=yes
smtps   inet    n       -       -       -       -       smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_reject_unlisted_recipient=no -o smtpd_client_restrictions=$mua_client_restrictions -o smtpd_helo_restrictions=$mua_helo_restrictions -o smtpd_sender_restrictions=$mua_sender_restrictions -o smtpd_recipient_restrictions= -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
pickup    unix  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
submission      inet    n       -       -       -       -       smtpd -o smtpd_sasl_auth_enable=yes

 

[Joe User]

Ich habe mal Deine main.cf mit meiner Standard-main.cf kombiniert:

always_add_missing_headers = yes
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
allow_percent_hack = no
biff = no
disable_vrfy_command = yes
home_mailbox = .Maildir/
inet_interfaces = all
inet_protocols = all
local_header_rewrite_clients = permit_mynetworks, permit_sasl_authenticated
mailbox_size_limit = 0
masquerade_domains = $mydomain
masquerade_exceptions = root, mailer-daemon
message_size_limit = 0
milter_default_action = accept
milter_protocol = 2
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = r4b2.de
myhostname = foo.r4b2.de
mynetworks_style = host
non_smtpd_milters = inet:localhost:8891
notify_classes = data, protocol, resource, software
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites =
  zen.spamhaus.org*3
  bl.mailspike.net*3
  ix.dnsbl.manitu.net*2
  bl.spameatingmonkey.net*1
  cbl.abuseat.org*1
  bl.spamcop.net*1
  swl.spamhaus.org*-10
  wl.mailspike.net*-10
postscreen_dnsbl_threshold = 5
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
recipient_delimiter = +
sender_bcc_maps = hash:/etc/postfix/bcc
show_user_unknown_table_name = no
smtp_dns_support_level = enabled
smtp_tls_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtp_tls_loglevel = 1
smtp_tls_mandatory_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_port_logging = yes
smtpd_client_restrictions =
  sleep 1,
  permit
smtpd_data_restrictions =
  reject_unauth_pipelining,
  reject_multi_recipient_bounce,
  permit
smtpd_etrn_restrictions =
  reject
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  permit
smtpd_milters = inet:localhost:8891
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit
smtpd_relay_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  defer_unauth_destination,
  permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/postfix.cert.pem
smtpd_tls_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtpd_tls_key_file = /etc/postfix/postfix.key.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
strict_rfc821_envelopes = yes
tls_daemon_random_bytes = 64
tls_high_cipherlist = EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EECDH+3DES EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 EDH+3DES
tls_medium_cipherlist = EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EECDH+3DES EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 EDH+3DES AESGCM AES256 AES128 3DES
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = NO_COMPRESSION
unknown_local_recipient_reject_code = 450
virtual_alias_maps = hash:/etc/postfix/virtual

Das Gleiche mit der master.cf

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
#smtp      inet  n       -       n       -       -       smtpd
smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
dnsblog   unix  -       -       n       -       0       dnsblog
tlsproxy  unix  -       -       n       -       0       tlsproxy
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       n       -       -       smtpd
#  -o syslog_name=postfix/smtps
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       n       -       -       qmqpd
pickup    unix  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
#
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# ====================================================================
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
#
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -f $sender $nexthop $recipient
#
scalemail-backend unix -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
  ${nexthop} ${user} ${extension}
#
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
#

Wichtig für Dich zu wissen:

Ich habe Dir smtps (Port 465) durch submission (Port 587) ersetzt, da smtps deprecated ist.
Du musst also in Deinen Mailclients für den Versand von "SSL / Port 465" auf "SSL/TLS / Port 587" umstellen.

Weiterhin habe ich Dir postscreen aktiviert und einfach konfiguriert. Dadurch werden jetzt eingehende Mails automatisch direkt durch Postfix mit mehreren DNSBL und DNSWL abgeglichen und der meiste Spam somit direkt abgewiesen. Spamassassin, Amavis, policyd-weight und Co kannst Du Dir damit quasi sparen, solltest Du sie denn bis jetzt verwenden.
Zudem macht postscreen eine Art greylisting, das heisst, dass wenn Du eine Mail von einem Mailserver bekommst der vorher noch nicht mit Postfix kontakt hatte, wird die Mail etwas verzögert zugestellt. Also etwas Geduld gerade von Du Dich zum Beispiel irgendwo neu anmeldest und auf die Aktivierungsmail wartest.

TLS ist jetzt grundsätzlich für Inbound und Outbound aktiviert und arbeitet nur noch mit aktuellen sicheren Verschlüsselungsmethoden.

SSLv3 ist komplett deaktiviert, wie per RFC gefordert.

Die smtpd_*_restrictions sind komplett überarbeitet und sinnvoll erweitert, siehe dazu bei Bedarf bitte http://www.postfix.org/postconf.5.html

Ein paar eher unwichtige Kleinigkeiten, welche Du mit http://www.postfix.org/postconf.5.html selbst schnell entdecken kannst.


Bitte für den Fall der Fälle Deine aktuellen main.cf und master.cf backuppen bevor Du meine übernimmst.

 

[MachineHead]

Guten Morgen,

vielen Dank erstmal. Ich habe deine Konfiguration eingespielt, leider funktioniert jetzt die Anmeldung nicht mehr

Bin auf der Suche was da los ist

 

[Joe User]

Hast Du Deinen Mailclient wie beschrieben auf SSL/TLS Port 587 umkonfiguriert?

 

[MachineHead]

Ja, habe ich geändert. Habe auch div. Settings ausprobiert, geht leider nicht. Im log sehe ich nur folgendes:


Thunderbird mit "Verschlüsseltes Passwort"

Aug 17 15:10:44 foo postfix/submission/smtpd[5551]: connect from unknown[1.1.1.1]:60933
Aug 17 15:10:45 foo postfix/submission/smtpd[5551]: Anonymous TLS connection established from unknown[1.1.1.1]:60933: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Aug 17 15:10:53 foo postfix/submission/smtpd[5551]: disconnect from unknown[1.1.1.1]:60933

Thunderbird mit "Passwort, normal"

Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: connect from unknown[1.1.1.1]:60972
Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: Anonymous TLS connection established from unknown[1.1.1.1]:60972: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: warning: SASL authentication failure: Password verification failed
Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: warning: unknown[1.1.1.1]:60972: SASL PLAIN authentication failed: generic failure
Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
Aug 17 15:13:17 foo postfix/submission/smtpd[5697]: warning: unknown[1.1.1.1]:60972: SASL LOGIN authentication failed: generic failure
Aug 17 15:13:28 foo postfix/submission/smtpd[5697]: disconnect from unknown[1.1.1.1]:60972

Über Roundcube

SMTP Fehler (250): Die Authentisierung ist fehlgeschlagen.