SSL bei SMTP (postfix) - Debian/Froxlor

[Deleted member 14254]

So... ist vollbracht: Port 587 für STARTTLS eingeschaltet/SSL-Port 465 (deprecated) nicht mehr aktiv.

Eine Frage hätte ich aber noch, wobei es mir um folgendes geht:

Ausschnitt Inhalt master.cf

dovecot   unix  -       n       n        -       -       pipe
  flags=DRhu user=mail:mail argv=/usr/libexec/dovecot/deliver
  -f ${sender} -d ${recipient}

#smtps    inet  n       -       n       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

submission inet n       -       n       -       -       smtpd
#  -o syslog_name=postfix/submission
  [B]-o smtpd_tls_security_level=encrypt[/B]
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

Ausschnitt Inhalt main.cf

# SSL && TLS

[B]smtpd_tls_security_level = may[/B]
# smtpd_tls_security_level = encrypt
smtpd_tls_cert_file = /etc/ssl/mailserver_cert.pem
smtpd_tls_key_file = /etc/ssl/mailserver_keyrsa.pem
smtpd_tls_auth_only = yes

smtpd_tls_CAfile = /etc/ssl/demoCA/cacert.pem

smtpd_tls_dh1024_param_file = /etc/ssl/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/ssl/dh_512.pem

smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, RC4, MD5

smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4, MD5
smtpd_tls_mandatory_protocols = SSLv3, TLSv1, !SSLv2

smtpd_tls_protocols = SSLv3, TLSv1, !SSLv2
smtpd_tls_received_header = yes

# Restrictions

smtpd_sender_restrictions = reject_non_fqdn_sender

smtpd_reject_unlisted_sender = yes

smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_recipient, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:127.0.0.1:2525

reject_rbl_client = zen.spamhaus.org

Ich habe die Zeilen, um die es mir geht, hervorgehoben.
In der master.cf ist für Port 587 per

-o smtpd_tls_security_level=encrypt

- TLS erzwungen. - Wie im HowTo beschrieben und entsprechend d4f's Erklärung.

In der main.cf jedoch:

smtpd_tls_security_level = may

Diesen habe ich kurzzeitig "spasseshalber" auch mal auf "encrypt" gesetzt. Daraufhin hatte ich das Problem, das ich per Freemailer wie gmx.net/freenet.de usw. an meine Postfächer auf meinem Mailserver keine Mails mehr senden konnte:

Remote_host_said: STARTTLS-command needed

Daraus schliesse ich jetzt mal, das die main.cf dafür zuständig ist, "auf welcher Art und Weise eine Mail zugestellt werden kann".

Die anderen Parameter in der main.cf geben schon Aufschluß dahingehend, doch eine Bestätigung Eurerseits wäre mir lieb.

Danke im Voraus!

PS. Das Wichtigste glatt vergessen:

DNSGoodies.com

Good News!
All tests for an open relay on your mail server failed.
Your mail server does not allow open relay.

 

[Whistler]

Die Bedeutung der einzelnen Möglichkeiten ist hier beschrieben.
Das "-o" ist lediglich eine Möglichkeit, einzelne Parameter aus der main.cf zu übersteuern, hauptsächlich um dieselbe main.cf in unterschiedlichen Konstellationen verwenden zu können. Bei fehlendem "-o smtpd_tls_security_level" wirkt der Parameter aus der Konfiguraionsdatei

 

[Deleted member 14254]

Danke, Whistler!

Aber was meint Du hiermit:

Bei fehlendem "-o smtpd_tls_security_level" wirkt der Parameter aus der Konfiguraionsdatei

Die Haupt-Konfigurationsdateien von einem "rohen" Postfix sind doch "main.cf" / "master.cf" ?!

Das mit dem Override ist mir verständlich, doch was wird dort overridden, was in der "Konfigurationsdatei" anders stünde?

Danke Dir/Euch!

 

[danton]

In der master.cf werden, wenn du es so nennen willst, die einzelnen Postfix-Dienste definiert. Diese lesen ihre Konfigurationsrichtlinien aus der main.cf oder verwenden, wenn dort nix definiert ist, einen Defaultwert. Mit dem -o Parameter kannst du nun festlegen, daß statt der Einstellung in der main.cf oder des Defaultwertes der nun explizit definierte Wert verwendet wird. Ein Beispiel hast du selbst oben geliefert: Auf dem submission-Port kann es OK sein, SSL-Verschlüsselung zu forcieren, auf dem SMTP-Port sollte nur optional sein, damit auch die Mailserver, die nicht verschlüsseln wollen, weiterhin Mais bei dir einliefern können.

 

[Deleted member 14254]

Hallo danton,

vielen lieben Dank! Genau dies hatte mir im "Oberstübchen" gefehlt! Sehr gut!

Später mal das Smartphone befragen, ob es mit der Änderung von SSL -> TLS ebenfalls 'einverstanden' ist Ansonsten probier ich dann die z-Push, was d4f vorgeschlagen hatte, aus.

 

[zakazak]

bei mir musste sowohl in der master.cf als auch main.cf

-o smtpd_tls_security_level=may

da sonst einige anbieter keine mails an mich schicken konnten.

 

[bjo]

Also zumindest K9-Mail kommt auch mit Starttls auf Port 587 klar.