staging.inyokaproject.org

Hi Community, (vorab: Ich besitze Plesk aber nur eine Lizenz von einem Reseller, daher bekomme ich bei Plesk direkt keinen Support und mein Anbieter woher ich die Lizenz habe, bietet auf sowas keinen Support)

ich habe eine kleine Frage bzgl. meines Mailservers. Aktuell stehe ich vor dem Problem, wie schon oben im Titel stehend, dass ich mit meinem Mailserver keine Verbindung via Port 587 aufbauen kann sofern ich SSL/TLS Verwende. Wenn ich aber z.B. in Outlook, Thunderbird & Co STARTTLS angebe, geht es. Bei der Auswahl von SSL/TLS kommt nur eine Meldung, dass mein Mailserver dies nicht unterstützt.

Jetzt ist natürlich die Frage.. Wieso?

Ich poste einfach mal die Postfix main.cf rein:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases
alias_database = hash:/etc/aliases
mydestination = localhost.$mydomain, localhost, localhost.localdomain
relayhost =
mynetworks =
inet_interfaces = all
recipient_delimiter = +

inet_protocols = all
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_mailbox_maps = , hash:/var/spool/postfix/plesk/vmailbox
transport_maps = , hash:/var/spool/postfix/plesk/transport
smtpd_tls_cert_file=......
smtpd_tls_key_file=........
smtpd_tls_security_level = may
smtpd_use_tls = yes
smtp_tls_security_level = may
smtp_use_tls = no
smtpd_timeout = 3600s
smtpd_proxy_timeout = 3600s
disable_vrfy_command = yes
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client b.barracudacentral.org
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:30
virtual_gid_maps = static:31
smtpd_milters = , inet:127.0.0.1:12768 inet:127.0.0.1:12345
sender_dependent_default_transport_maps = hash:/var/spool/postfix/plesk/sdd_transport_maps
virtual_transport = plesk_virtual
plesk_virtual_destination_recipient_limit = 1
mailman_destination_recipient_limit = 1
mailbox_size_limit = 0
virtual_mailbox_limit = 0
smtpd_tls_mandatory_protocols = TLSv1 TLSv1.1 TLSv1.2
smtpd_tls_protocols = TLSv1 TLSv1.1 TLSv1.2
smtpd_tls_ciphers = medium
smtpd_tls_mandatory_ciphers = medium
tls_medium_cipherlist = HIGH:!aNULL:!MD5
myhostname = ....
message_size_limit = 10240000
milter_connect_macros = j {daemon_name} {client_connections} {client_addr} {client_ptr} v
milter_default_action = accept

Die wichtigsten Dinge wären ja eigentlich: smtpd_tls_security_level = may smtpd_use_tls = yes Und normalerweise müsste ja TLS dann gehen aber ich weiß leider nicht ob das SSL/TLS mit einschließt.

Hat hier jemand bereits Erfahrung mit & kann mir helfen?

Wie gesagt eine Verbindung zum Mailserver via 587 ist kein Problem. Nur SSL/TLS geht nicht.

Bitz0r schrieb:

Wenn ich aber z.B. in Outlook, Thunderbird & Co STARTTLS angebe, geht es. Bei der Auswahl von SSL/TLS kommt nur eine Meldung, dass mein Mailserver dies nicht unterstützt.

Wo ist das Problem? Du kannst auf einem Port nur ein Protokoll sprechen. Du kannst nicht sowohl SMTP (+Starttls) und SMTPS (also SMTP ueber TLS) sprechen.

Neben der main.cf ist auch noch die master.cf relevant, dort stehen die Port-spezifischen Parameter.

Danke für die Antwort! Das hab ich soweit verstanden.

Ich würde nun gerne aber nicht mehr starttls verwenden sondern ssl/tls daher auch der Beitrag.

Brauchst du noch die Main.cf oder hast du ggf. Sogar eine Beispiel config wie das aussehen müsste? Hab leider nicht viel gefunden ☹

Bitz0r schrieb:

Ich würde nun gerne aber nicht mehr starttls verwenden sondern ssl/tls daher auch der Beitrag.

Dann die gleiche Konfiguration wie smtps, nur mit verpflichtender Authentifizierung

Brauchst du noch die Main.cf

Ohne Angabe dieser kann man den Fehler nicht finden. Ich bin kein Wahrsager.

Wichtig ist hier die {{master.cf}}. Dort muss der Submission-Dienst aktiviert werden. Das sieht bei mir so aus:

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_sender_login_maps=hash:/etc/postfix/smtpd_sender_login_maps
  -o smtpd_sender_restrictions=reject_sender_login_mismatch
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_sasl_authenticated,reject

Wichtig ist, dass du das nicht einfach übernimmst, sondern jede Anweisung auch verstehst.

BTW: Wenn Submission dann einmal funktioniert, würde ich die Authentifizierung auf Port 25 deaktivieren.