AW: Apple Mail und Mailserver

Daniel Daniel at Mail24.vip
Di Sep 17 17:32:26 CEST 2024 

Moin,

dein Cert ist nur nicht für wwl10.leicht.info erstellt, und damit ungültig. Nicht wundern wenn Emails ggf. ausbleiben mit falschen Cert, da kann man wohl schon von "Glück" sprechen, dass kein DANE/DNSSEC verwendest mit falschen Cert.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von christian via Postfixbuch-users
Gesendet: Dienstag, 17. September 2024 16:31
An: postfixbuch-users at listen.jpberlin.de
Cc: christian <usenet at schani.com>
Betreff: Re: Apple Mail und Mailserver

Hallo Gerald,

danke für die Ausführliche Beschreibung. Hab wieder viel gelernt. Meine MX Domain ist allerdings die wwl10.leicht.info und schani.com sendet über diese.
Wenn ich mir die Ergebnisse von hardenize.com anschaue ist nur ein Fehler drin. Das Zertifikat passt nicht zum Hostnamen. Was aber nicht stimmt.
dig leicht.info MX
leicht.info.            21600   IN      MX      10 wwl10.leicht.info.
dig schani.com MX
leicht.info.            21600   IN      MX      10 wwl10.leicht.info.


Gerade wird drüben in der Rspamd Mailingliste über emailspooftest.com gesprochen. Nach emailspooftest.com ist mein Server ein "Open Relay".
Na ja ist er nicht. 
https://mxtoolbox.com/supertool3?action=mx%3aleicht.info&run=toolpage

Aber das zeigt mir das nicht alle Tools so zuverlässig sind. Aber ich teste jetzt alles durch und optimiere weiter.
Mann muss sich halt die Infos zusammensuchen weil die Dokumentationen nicht allzu aufschlussreich sind. Besonders bei Rspamd

Nochmal kurz zu Apple Mail. Da liegt das Problem meist bei der Einbindung in iCloud. Viele Leute haben mehrere Geräte in diese iCloud hängen und die mischt sich immer wieder ein und überschreibt neu angelegte Passwörter. Gerade heute wieder passiert. Das Passwort wird zurückgestellt und der Mailclient vom iPhone ist im Firmennetzwerk über Wlan eingeloggt. Das iPhone fragt das Konto ab und verwendet wieder das falsche Passwort. Mein Fail2Ban legt die ganze Firmen IP lahm. 6 weiter Mitarbeiter können nicht emailen.
Ohne Fail2Ban gehts aber nicht. >15000 Anfragen täglich an dovecot mit falschen Passwörtern und EmailAdressen.

LG Christian

Am 14.09.2024 um 20:34 schrieb Gerald Galster:
 >> da scheinen paar Sachen nicht zu stimmen, siehe z.B. 
https://www.hardenize.com/report/schani.com/1726317928
 >
 > Die Seite bietet eine gute Übersicht. Den Empfehlungen sollte man in Bezug auf Mailserver aber nicht blind folgen.
 >
 >> Altes TLS 1.0 und 1.1 aktiv, nicht übereinstimmende Cert Matches, DMARC Policy auf andere Domain ohne diese zu erlauben.
 >
 > Auch wenn viele Mailserver mittlerweile TLS >= 1.2 unterstützen, sollte man TLS 1.0/1.1 im smtpd (noch) nicht abschalten.
 > In der Regel ist security_level "may" konfiguriert, d.h. es wird Verschlüsslung verwendet wenn verfügbar, andernfalls Plaintext.
 > Zurrt man den security_level auf TLS >= 1.2 fest, würden Daten älterer Systeme also eher unverschlüsselt über die Leitung gehen.
 > Da ist irgendwie verschlüsselt besser als gar nicht verschlüsselt (DSGVO). Clientseitig kann man in postfix auch detailliertere  > Einstellungen vornehmen. Genauere Informationen, auch bzgl. 
Sicherheit von TLS 1.0/1.1 in Bezug auf Mailtransport, finden sich  > in den Mails von Viktor Dukhovni im Archiv der Postfix-Mailingliste.
 >
 > Ob das SSL-Zertifikat für Apple-Mail gültig ist kann ich nicht sagen, da der Servername in den Einstellungen nicht genannt wurde.
 > Für den Betrieb des Mailservers ist es aber ungültig. Der MX für schani.com verweist auf wwl10.leicht.info, Mailserver verbinden  > sich also zu wwl10.leicht.info Port 25. Wird dann STARTSSL ausgeführt, wird ein Zertifikat mit leicht.info als Common Name  > ausgeliefert, ohne weitere Alternativen. Nur durch security_level=may kommen hier überhaupt verschlüsselte Verbindungen zustande  > weil auch ungültige Zertifikate akzeptiert werden. Bei Mailcients wie Apple-Mail sieht es anders aus: sollte da ein Servername  > in den Einstellungen verwendet werden, der nicht im Zertifikat gelistet ist, beschweren die sich zu Recht und die Sicherheit  > der Kunden ist geschwächt.
 >
 > Für DMARC-Reports an eine externe Adresse fehlt zwar eine entsprechende Freigabe, in der Praxis kommen Reports z.B. von GMail  > trotzdem an. Zumindest behindert das die normale Mailzustellung nicht.
 >
 > Viele Grüße
 > Gerald

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6016 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240917/f2d5078e/attachment.p7s>

Mehr Informationen über die Mailingliste Postfixbuch-users