Apple Mail und Mailserver

christian usenet at schani.com
Di Sep 17 16:30:46 CEST 2024 

Hallo Gerald,

danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine 
MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet 
über diese.
Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein 
Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht 
stimmt.
dig leicht.info MX
leicht.info.            21600   IN      MX      10 wwl10.leicht.info.
dig schani.com MX
leicht.info.            21600   IN      MX      10 wwl10.leicht.info.


Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com 
gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay".
Na ja ist er nicht. 
https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage

Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich 
teste jetzt alles durch und optimiere weiter.
Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen 
nicht allzu aufschlussreich sind. Besonders bei Rspamd

Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der 
Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud 
hängen und die mischt sich immer wieder ein und überschreibt neu 
angelegte Passwörter. Gerade heute wieder passiert. Das Passwort wird 
zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über 
Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das 
falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter 
Mitarbeiter können nicht emailen.
Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit 
falschen Passwörtern und EmailAdressen.

LG Christian

Am 14.09.2024 um 20:34 schrieb Gerald Galster:
 >> da scheinen paar Sachen nicht zu stimmen, siehe z.B. 
https://www.hardenize.com/report/schani.com/1726317928
 >
 > Die Seite bietet eine gute Übersicht. Den Empfehlungen sollte man in 
Bezug auf Mailserver aber nicht blind folgen.
 >
 >> Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, 
DMARC Policy auf andere Domain ohne diese zu erlauben.
 >
 > Auch wenn viele Mailserver mittlerweile TLS >= 1.2 unterstützen, 
sollte man TLS 1.0/1.1 im smtpd (noch) nicht abschalten.
 > In der Regel ist security_level "may" konfiguriert, d.h. es wird 
Verschlüsslung verwendet wenn verfügbar, andernfalls Plaintext.
 > Zurrt man den security_level auf TLS >= 1.2 fest, würden Daten 
älterer Systeme also eher unverschlüsselt über die Leitung gehen.
 > Da ist irgendwie verschlüsselt besser als gar nicht verschlüsselt 
(DSGVO). Clientseitig kann man in postfix auch detailliertere
 > Einstellungen vornehmen. Genauere Informationen, auch bzgl. 
Sicherheit von TLS 1.0/1.1 in Bezug auf Mailtransport, finden sich
 > in den Mails von Viktor Dukhovni im Archiv der Postfix-Mailingliste.
 >
 > Ob das SSL-Zertifikat für Apple-Mail gültig ist kann ich nicht sagen, 
da der Servername in den Einstellungen nicht genannt wurde.
 > Für den Betrieb des Mailservers ist es aber ungültig. Der MX für 
schani.com verweist auf wwl10.leicht.info, Mailserver verbinden
 > sich also zu wwl10.leicht.info Port 25. Wird dann STARTSSL 
ausgeführt, wird ein Zertifikat mit leicht.info als Common Name
 > ausgeliefert, ohne weitere Alternativen. Nur durch security_level=may 
kommen hier überhaupt verschlüsselte Verbindungen zustande
 > weil auch ungültige Zertifikate akzeptiert werden. Bei Mailcients wie 
Apple-Mail sieht es anders aus: sollte da ein Servername
 > in den Einstellungen verwendet werden, der nicht im Zertifikat 
gelistet ist, beschweren die sich zu Recht und die Sicherheit
 > der Kunden ist geschwächt.
 >
 > Für DMARC-Reports an eine externe Adresse fehlt zwar eine 
entsprechende Freigabe, in der Praxis kommen Reports z.B. von GMail
 > trotzdem an. Zumindest behindert das die normale Mailzustellung nicht.
 >
 > Viele Grüße
 > Gerald

Mehr Informationen über die Mailingliste Postfixbuch-users