TLS Postfix Logging

F

furban

New Member
Hi,

ich logge bei mir im Postfix Log mit wenn TLS Verbindungen zustande gekommen sind.

In der main.cf:
smtp_tls_security_level = may
...
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

Nun wollen meine Kollegen gerne eine Auswertung haben zu welchen Domains wir denn kein TLS aufbauen können. Dafür gibt es aber leider keinen Eintrag im Log.
Hat jemand eine Idee wie ich also auch im Falle einer nicht Zustande gekommenen TLS Verbindung eine Eintrag im Log erzeugen kann?

Gruß

Frank
 
Geht's um eingehende Verbindungen an euren eigenen Postfix oder die Verbindung von eurem Postfix an einen anderen Mailserver?
 
Wenn bei meinem Postfix
smtp_tls_loglevel = 1
smtpd_tls_loglevel = 1

Dann siehts beim Senden an einen anderen Server so aus:
Sep 11 14:55:57 srv10001 postfix/smtp[5120]: Untrusted TLS connection established to example.org[47.11.42.13]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)

Eeim Einliefern an Postfix selbst:
Sep 11 14:59:30 srv10001 postfix/smtpd[5156]: Anonymous TLS connection established from pdeadbeef.dip0.t-ipconnect.de[84.147.111.22]: TLSv1.2 with cipher DHE-RSA-AES256-SHA256 (256/256 bits)
 
Last edited by a moderator:
Bei einer Verbindung wo es nicht geklappt hat, weil ungültiges SSL2 kommt z.B.
Sep 11 15:15:24 srv10001 postfix/smtpd[7406]: SSL_accept error from pdeadbeef.dip0.t-ipconnect.de[84.111.22.11]: Connection reset by peer

furban said:
Hat jemand eine Idee wie ich also auch im Falle einer nicht Zustande gekommenen TLS Verbindung eine Eintrag im Log erzeugen kann?
Click to expand...
Was meint ihr denn genau mit: "nicht Zustande gekommenen TLS Verbindung"?
 
Also ich habe ja als TLS Level
smtp_tls_security_level = may
eingestellt und somit wird mit der Gegenstelle ausgehandelt ob denn eine Email TLS verschlüsselt übertragen werden kann.
Wenn das klappt, erzeugt das genau diese schönen Logeinträge wie bei dir auch.
Nur wenn die Gegenstelle (egal ob ein oder ausgehend) halt gar kein TLS unterstützt, so gibt es dazu leider keinen Logeintrag und somit wird es etwas kompliziert wenn man das Logfile danach auswerten möchte. Zumindest meine Scripting Fähigkeiten stoßen da schon an ihre Grenzen.
 
OK. habe ich mal hoch gesetzt. Das einzige was ich aber jetzt sehe was wohl darauf hinweist das es nicht geklappt hat ist:
postfix/smtp[10982]: discarding EHLO keywords: 8BITMIME STARTTLS
und in der Zeile fehlt mir leider der Hostname usw. um etwas auswerten zu können
 
So langsam...

postfix/smtp[29597]: SSL_connect error to mail.host.bg[193.107.36.245]:25: -1

ist das die Zeile die ich suche?
 
Wohl nicht so zu 100%

SSL_connect error to gmr-smtp-in.l.google.com[64.233.162.14]:25: -1

Der kann z.B. TLS
telnet gmr-smtp-in.l.google.com 25
250-STARTTLS

mag sein das TLS aus anderen Gründen dann nicht geklappt hat, aber diese
"SSL_connect error" Meldungen erscheinen mir zu selten im Log.
 
Da steht nur, dass ein Connect mit SSL nicht klappte. Vielleicht hat das System versucht erst mit SSL2 zu verbinden.

Wenn du sehen willst, was da bei ausgehenden Mails über SMTP passiert ist, kannst du den Loglevel bei smtp_tls_loglevel erhöhen.
Und schau dir halt mal das Log genauer an.
 
OK. Ich spiele mal noch ein wenig mit dem Loglevel. Aber da habe ich wenig Hoffnung das da was dabei raus kommt. Außerdem wird mir auch bei Level 2 das Logfile schon etwas zu groß
Danke
 
Solange du dem Postfix die Wahl lässt, ob er an andere Mailserver ohne/mit SSL verbinden darf, wird eine Verbindung zustande kommen.

Wollt ihr das nur aus technischem Interesse wissen, an wen nicht mit SSL verbunden werden kann oder ist das bei euch ein Privacy-Aspekt?
 
Die Statistik sagt das heutzutage etwa 2/3 aller Mailrelays TLS können und da Verschlüsselung ja aktuell sehr beliebt ist möchte man halt gerne Wissen wohin bei unsere Emailkommunikation TLS nicht funktioniert. Das TLS nicht gerade die tollste Verschlüsselung ist spielt dabei keine Rolle. Hauptsache es kostet nichts und man muss sich als Absender nicht mit Zertifikaten beschäftigen.
 
Sicherlich ist es interessant, wohin über SSL versandt werden kann.

Aber ob Mails dann auch von einem Mailserver an einen andere per SSL weiter gereicht werden, ist manchmal undurchsichtig.
Und ob auch das sicherste Chiffre mit dem stärksten Protokoll ausgehandelt wird, nun ja, das ist manchmal eher esoterisch auszupendeln als nachvollziehbar.
Ich hatte vor Monaten das Problem, dass an Microsoftsche Maildienste per SSL ans SMTP eingeliefert wird, dann aber bei Weiterleitung ohne SSL weiter gereicht wurde.
 
Ich habe schon Einträge im Log gesehen wo z.B. Emails schön verschlüsselt an Postini Server übermittelt werden. Postini ist ein 100% Tochter von Google und übernimmt für seine Kunden den Service die EMails auf SPAM und Schadproramme zu analysieren. Bin mir nicht sicher ob die bei der Gelegenheit nicht auch gleich noch andere Analysen machen ;)
 
You must log in or register to reply here.
Back
Top