[Postfixbuch-users] Wer kann mir bitte helfen??? postfix mit TLS
Carsten Laun-De Lellis
carsten.delellis at delellis.net
Mo Jul 27 13:28:06 CEST 2009
Hallo
Ich bin zwar kein Guru, wie die meisten anderen hier, sondern ein Newbie,
der sich seit etwa 2 Monate intensiv mit Postfix, dovecot und mailing im
allgemeinen beschäftigt. Aus diesem Grund solltest Du bei meinen Bemerkungen
bitte etwas großzügiger sein. Aber vielleicht kann gerade ich Dir
weiterhelfen, da ich mich auf einem ähnlichen Niveau bewege.
Wäre toll, wenn jemand aus der Liste meine Anregungen kommentieren könnte,
da ich natürlich hier auch weiterlernen möchte.
Carsten Laun-De Lellis
Dipl.-Ing. Elektrotechnik
Certified Information Systems Auditor (CISA)
Hauptstrasse 13
D-67705 Trippstadt
Phone: +49 (6306) 992140
Mobile: +49 (151) 27530865
email: carsten.delellis at delellis.net
> -----Ursprüngliche Nachricht-----
> Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic
> Gesendet: Freitag, 24. Juli 2009 21:00
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] Wer kann mir bitte helfen??? postfix
> mit TLS
>
> smaerz at mnet-online.de wrote:
> > Hi.
> >
> > Ich bin echt am verzweifeln...
> >
> > Ich will postfix mit dovecot instalieren und hänge bei postfix an 2
> > Punkten (dovecot läuft ok)
> >
> > System ist debian5 (lenny) 64
> >
> > Mein erstes Problem ist dass postfix keine mails nach aussen
> schickt...
> >
> > Das zweite ist scheinbar ein TLS Problem, denn sobald ich versuche
> über
> > SSL mails zu senden kommt es entweder zum timeout (Outlook) oder
> TheBat
> > meldet:
> >
> > SEND - TLS-Protokollfehler: Unerwartete Nachricht
> > SessionUnknownContentType ct (50) SEND - Verbindung beendet - 0
> > Nachrichten versandt SEND - Einige Nachrichten wurden nicht
> > versendet - prüfen Sie die Logdatei nach Informationen
> >
> > Ich bin jedem dankbar der mir hier helfen kann!!
> >
> > Vielen Dank im Voraus!
> >
> > postconf -n
> >
> > alias_database = hash:/etc/aliases
> > alias_maps = hash:/etc/aliases
> > allow_min_user = yes
> > append_dot_mydomain = no
> > biff = no
> > broken_sasl_auth_clients = yes
> > config_directory = /etc/postfix
> > home_mailbox = mails/
[>]
Hier steht ein relativer Pfad. Ich denke man sollte einen absoluten Pfad in
Bezug zur root angeben, oder sollen die mails im home Verzeichnis abgelegt
werden?
> > inet_interfaces = all
> > local_recipient_maps =
> > luser_relay = contact
> > mailbox_size_limit = 0
> > mydestination = safer-print.com, safer-print.de, safer-print.eu,
> > safer-print.it, localhost.$mydomain, localhost mydomain =
> > safer-print.com mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104
> > [::1]/128 myorigin = /etc/mailname readme_directory = no
> > recipient_delimiter = + relay_domains = $mydestination
Ich glaube den Parameter kann man streichen. Den gebe ich nur an, wenn ich
für mails für andere domains, für die ich nicht das Ziel bin angeben.
> > relayhost =
> > smtp_sasl_auth_enable = no
> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> > smtpd_client_restrictions = reject_invalid_hostname
> > smtpd_helo_required = yes smtpd_helo_restrictions =
> > reject_invalid_hostname smtpd_recipient_restrictions =
> > permit_sasl_authenticated permit_mynetworks
> > reject_unknown_sender_domain reject_invalid_hostname
Einzelne restrictions mit komma trennen. Wenn mehrere Zeilen, dann am Anfang
immer einrücken.
> > reject_unauth_destination
> > smtpd_sasl_auth_enable = yes
> > smtpd_sasl_local_domain =
> > smtpd_sasl_path = private/auth
> > smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot
> > smtpd_sender_restrictions = reject_unknown_address
> > strict_rfc821_envelopes = yes
>
> Hier in deiner Ausgabe von "postconf -n" sehe ich keine TLS-Parameter!
>
> > main.cf
> >
> > # See /usr/share/postfix/main.cf.dist for a commented, more complete
> version
> >
> > # Debian specific: Specifying a file name will cause the first #
> > line of that file to be used as the name. The Debian default # is
> > /etc/mailname.
> > #myorigin = /etc/mailname
> > #myorigin = $mydomain
> >
> > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no
> >
> > # appending .domain is the MUA's job.
> > append_dot_mydomain = no
> >
> > # Uncomment the next line to generate "delayed mail" warnings
> > #delay_warning_time = 4h
> >
> > readme_directory = no
> >
> > # TLS parameters
> > smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem
> > smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
> > smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
>
> Aber hier hast du welche angegeben!
>
> > #smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> > #smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> > #smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem smtpd_use_tls =
> > yes smtpd_enforce_tls = no smtpd_tls_auth_only = yes
> > smtpd_tls_session_cache_database =
> btree:${data_directory}/smtpd_scache
> > smtp_tls_session_cache_database =
> > btree:${data_directory}/smtp_scache
> > smtpd_tls_security_level = may
> >
> > # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc
> > package
> for
> > # information on enabling SSL in the smtp client.
> >
> > #SASL parameters
> > smtpd_sasl_auth_enable = yes
> > smtpd_sasl_type = dovecot
> > smtpd_sasl_path = private/auth
> >
> > smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain =
> > smtp_sasl_auth_enable = no broken_sasl_auth_clients = yes
> >
> > #Virtual Daomain parameters
> > #virtual_alias_domains = safer-print.de, safer-print.eu, safer-
> print.it
> > #virtual_alias_maps = hash:/etc/postfix/virtual_domains
> >
> > #Anti SPAM
> > check_policy_service = inet:127.0.0.1:12525
> >
> > #myhostname = mail.safer-print.com
> > mydomain = safer-print.com
> > alias_maps = hash:/etc/aliases
> > alias_database = hash:/etc/aliases
> > myorigin = /etc/mailname
> > mydestination = safer-print.com, safer-print.de, safer-print.eu,
> > safer-print.it, localhost.$mydomain, localhost relayhost =
> > relay_domains = $mydestination mynetworks = 127.0.0.0/8
> > [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0
> > recipient_delimiter = + inet_interfaces = all allow_min_user = yes
> > #smtpd_tls_key_file = /etc/ssl/private/dovecot.pem
> > smtpd_recipient_restrictions = permit_sasl_authenticated
> > permit_mynetworks reject_unknown_sender_domain
> reject_invalid_hostname
> > reject_unauth_destination
> > smtpd_helo_required = yes
> > smtpd_helo_restrictions = reject_invalid_hostname
> > #smtpd_recipient_restrictions = permit_mynetworks
> > reject_unknown_recipient_domain permit_sasl_authenticated
> > reject_unauth_destination smtpd_sender_restrictions =
> > reject_unknown_address smtpd_client_restrictions =
> > reject_invalid_hostname strict_rfc821_envelopes = yes home_mailbox =
> > mails/ local_recipient_maps = luser_relay = contact
> >
> > master.cf
> >
> > #
> > # Postfix master process configuration file. For details on the
> format
> > # of the file, see the master(5) manual page (command: "man 5
> master").
> > #
> > # Do not forget to execute "postfix reload" after editing this file.
> > #
> > #
> ======================================================================
> =
> ===
> > # service type private unpriv chroot wakeup maxproc command +
> args
> > # (yes) (yes) (yes) (never) (100)
> > #
> ======================================================================
> =
> ===
> > smtp inet n - y - - smtpd
> > submission inet n - - - - smtpd
>
> Du hast für beide Ports ein chroot angegeben (chroot = "y" oder "-").
> Ich
> nehme an, dass du die entsprechenden Parameter nicht ins chroot
> übernommen hast. Das kann eine Ursache dafür sein.
>
> Ist das ein Debian-System?
>
> > # -o smtpd_tls_security_level=encrypt # -o
> > smtpd_sasl_auth_enable=yes # -o
> > smtpd_client_restrictions=permit_sasl_authenticated,reject
> > # -o milter_macro_daemon_name=ORIGINATING
> > smtps inet n - y - - smtpd
> > # -o smtpd_tls_wrappermode=yes
> > # -o smtpd_sasl_auth_enable=yes
> > # -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> > # -o milter_macro_daemon_name=ORIGINATING
> > #628 inet n - - - - qmqpd
> > pickup fifo n - - 60 1 pickup
> > cleanup unix n - - - 0 cleanup
> > qmgr fifo n - n 300 1 qmgr
> > #qmgr fifo n - - 300 1 oqmgr
> > tlsmgr unix - - - 1000? 1 tlsmgr
> > rewrite unix - - - - - trivial-
> rewrite
> > bounce unix - - - - 0 bounce
> > defer unix - - - - 0 bounce
> > trace unix - - - - 0 bounce
> > verify unix - - - - 1 verify
> > flush unix n - - 1000? 0 flush
> > proxymap unix - - n - - proxymap
> > proxywrite unix - - n - 1 proxymap
> > smtp unix - - - - - smtp
> > # When relaying mail as backup MX, disable fallback_relay to avoid
> > MX
> loops
> > relay unix - - - - - smtp
> > -o smtp_fallback_relay=
> > # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
> > showq unix n - - - - showq
> > error unix - - - - - error
> > retry unix - - - - - error
> > discard unix - - - - - discard
> > local unix - n n - - local
> > virtual unix - n n - - virtual
> > lmtp unix - - - - - lmtp
> > anvil unix - - - - 1 anvil
> > scache unix - - - - 1 scache
> > #
> > #
> ====================================================================
> > # Interfaces to non-Postfix software. Be sure to examine the manual
> > # pages of the non-Postfix software to find out what options it
> wants.
> > #
> > # Many of the following services use the Postfix pipe(8) delivery #
> > agent. See the pipe(8) man page for information about ${recipient}
> > # and other message envelope options.
> > #
> ====================================================================
> > #
> > # maildrop. See the Postfix MAILDROP_README file for details.
> > # Also specify in main.cf: maildrop_destination_recipient_limit=1
> > #
> > maildrop unix - n n - - pipe
> > flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # #
> > See the Postfix UUCP_README file for configuration details.
> > #
> > uucp unix - n n - - pipe
> > flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
> > ($recipient)
> > #
> > # Other external delivery methods.
> > #
> > ifmail unix - n n - - pipe
> > flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop
> ($recipient)
> > bsmtp unix - n n - - pipe
> > flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop
> > -f$sender $recipient
> > scalemail-backend unix - n n - 2 pipe
> > flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
> > ${nexthop} ${user} ${extension}
> > mailman unix - n n - - pipe
> > flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
> > ${nexthop} ${user}
> >
> > Ich hoffe ich hab nichts vergessen....
>
> Die Logzeilen von Postfix wären sehr hilfreich aus /var/log/mail.*,
> die zu dieser Zeit geloggt wurden.
>
> --
> Sandy
> Antworten bitte nur in die Mailingliste!
> PMs bitte an: news-reply2 (@)drobic (.) de
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional
> Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
[>]
Sonstige Anmerkungen:
- Warum virtual alias domains ??
- Warum überhaupt nicht nur virtuelle domains ?? Was machen die user noch
ausser emailing, so dass system accounts notwendig sind ?
- Ist in der dovecot.conf postfix als client prozess für die
authentifizierung definiert ?
- Warum nicht dovecot als transport für virtuelle domains definert ?
- Hat unauthentifiziertes relayen funktioniert ?
- Was bekommt man, wenn man ein telnet auf port 25 macht ?
- Was steht im log ?
Mehr Informationen über die Mailingliste Postfixbuch-users