leider ist mir erst gerade aufgefallen das ich mich mit mein Mailprogramm auf dem Handy nur am Postausgangsserver (Postfix) anmelden kann wenn ich mich im internen Netzwerk befinde. Dann kann ich Nachrichten versenden. Befinde ich mich im Mobilfunknetzt kann ich den Postausgangsserver nicht erreichen. Ergo auch keine Nachrichten versenden.
Die Anmeldung beim Posteingangsserver funktioniert intern wie extern. Alle Firewall und Weiterleitungen auf den entsprechenden Ports (25, 587, 465, 993) sind identisch freigeschaltet und weitergeleitet zum Mailserver.
Ich habe eine eigene CA mit self signed Zertifikaten. Könnt Ihr mir bei der Eingrenzung des Fehler's behilflich sein? Was wäre zur Fehler Analyse hilfreich?
Code: Alles auswählen
root@dsme01:~# cat /etc/postfix/main.cf
##
## Netzwerkeinstellungen
##
mydomain = example.com
mynetworks = 192.168.0.0/16
inet_interfaces = 192.168.20.20
inet_protocols = all
myhostname = dsme01.intern.example.com
myorigin = /etc/mailname
mydestination = localhost.localdomain localhosts example.com
##
## Mail-Queue Einstellungen
##
maximal_queue_lifetime = 1h
bounce_queue_lifetime = 1h
maximal_backoff_time = 15m
minimal_backoff_time = 5m
queue_run_delay = 5m
##
## TLS Einstellungen
## Quelle: https://ssl-config.mozilla.org/#server=postfix&version=3.4.8&config=intermediate&openssl=1.1.1d&guideline=5.4
##
## Allgemein
tls_preempt_cipherlist = no
tls_ssl_options = NO_COMPRESSION
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
## Ausgehende SMTP-Verbindungen (Postfix als Sender)
relayhost = [sharbich.rubidium.########.##]:465
smtp_tls_wrappermode = yes
smtp_tls_security_level = encrypt
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/####_####
smtp_sasl_security_options = noanonymous
smtp_use_tls = yes
smtp_enforce_tls = yes
smtp_tls_enforce_peername = no
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_cert_file = /etc/ssl/certs/dsme01.intern.example.com.crt
smtp_tls_key_file = /etc/ssl/private/dsme01.intern.example.com.key
smtp_tls_CAfile = /etc/ssl/certs/dsme01.intern.example.com.pem
compatibility_level = 2
## Eingehende SMTP-Verbindungen
smtpd_tls_security_level = encrypt
smtpd_tls_auth_only = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_cert_file = /etc/ssl/certs/dsme01.intern.example.com.crt
smtpd_tls_key_file = /etc/ssl/private/dsme01.intern.example.com.key
smtpd_tls_CAfile = /etc/ssl/certs/dsme01.intern.example.com.pem
smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
smtpd_tls_dh512_param_file = ${config_directory}/dh512.pem
smtpd_tls_mandatory_ciphers = low
## smtpd_tls_loglevel = 3
##
## Lokale Mailzustellung an Dovecot
##
virtual_transport = lmtp:unix:private/dovecot-lmtp
mailbox_transport = lmtp:unix:private/dovecot-lmtp
##
## Spamfilter und DKIM-Signaturen via Rspamd
##
## smtpd_milters = inet:rspamd.intern.example.com:11332
smtpd_milters = inet:127.0.0.1:11332
## non_smtpd_milters = inet:rspamd.intern.example.com:11332
non_smtpd_milters = inet:127.0.0.1:11332
milter_protocol = 6
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_default_action = accept
##
## Server Restrictions für Clients, Empfänger und Relaying
## (im Bezug auf S2S-Verbindungen. Mailclient-Verbindungen werden in master.cf im Submission-Bereich konfiguriert)
##
## Bedingungen, damit Postfix als Relay arbeitet (für Clients)
smtpd_relay_restrictions = reject_non_fqdn_recipient
reject_unknown_recipient_domain
permit_mynetworks
reject_unauth_destination
## Bedingungen, damit Postfix ankommende E-Mails als Empfängerserver entgegennimmt (zusätzlich zu relay-Bedingungen)
## check_recipient_access prüft, ob ein account sendonly ist
## smtpd_recipient_restrictions = check_recipient_access proxy:mysql:/etc/postfix/sql/recipient-access.cf
## Bedingungen, die SMTP-Clients erfüllen müssen (sendende Server)
smtpd_client_restrictions = permit_mynetworks
check_client_access hash:/etc/postfix/without_ptr
reject_unknown_client_hostname
## Wenn fremde Server eine Verbindung herstellen, müssen sie einen gültigen Hostnamen im HELO haben.
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
## Clients blockieren, wenn sie versuchen zu früh zu senden
smtpd_data_restrictions = reject_unauth_pipelining
##
## Restrictions für MUAs (Mail user agents)
##
mua_relay_restrictions = reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_mynetworks,permit_sasl_authenticated,reject
mua_sender_restrictions = permit_mynetworks,reject_non_fqdn_sender,reject_sender_login_mismatch,permit_sasl_authenticated,reject
mua_client_restrictions = permit_mynetworks,permit_sasl_authenticated,reject
##
## LDAP Abfragen
##
smtpd_sender_login_maps = ldap:/etc/postfix/ldap/sender_login_maps.cf
virtual_mailbox_maps = ldap:/etc/postfix/ldap/virtual_mailbox_maps.cf
virtual_alias_maps = ldap:/etc/postfix/ldap/virtual_forward_maps.cf ldap:/etc/postfix/ldap/virtual_group_maps.cf
virtual_mailbox_domains = ldap:/etc/postfix/ldap/virtual_mailbox_domains.cf
local_recipient_maps = $virtual_mailbox_maps
##
## Sonstiges
##
### Maximale Größe der gesamten Mailbox (soll von Dovecot festgelegt werden, 0 = unbegrenzt)
mailbox_size_limit = 0
### Maximale Größe eingehender E-Mails in Bytes (50 MB)
message_size_limit = 52428800
### Keine System-Benachrichtigung für Benutzer bei neuer E-Mail
biff = no
## Nutzer müssen immer volle E-Mail Adresse angeben - nicht nur Hostname
append_dot_mydomain = no
## Trenn-Zeichen für "Address Tagging"
recipient_delimiter = +
## Keine Rückschlüsse auf benutzte Mailadressen zulassen
disable_vrfy_command = yes
alias_maps = hash:/etc/aliasesCode: Alles auswählen
root@dsme01:~# cat /etc/postfix/master.cf
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (no) (never) (100)
# ==========================================================================
###
### SMTP-Serverbindungen aus dem Internet
### Authentifizuerung hier nicht erlaubt (Anmeldung nur via smtps/submission!)
smtp inet n - n - 1 smtpd
-o syslog_name=postfix/smtp
-o smtp_tls_security_level=may
-o smtp_tls_cert_file=/etc/ssl/certs/dsme01.intern.example.com.crt
-o smtp_tls_key_file=/etc/ssl/private/dsme01.intern.example.com.key
###
### SMTPS Service (Submission mit implizitem TLS - ohne STARTTLS) - Port 465
### Für Mailclients gelten andere Regeln, als für andere Mailserver (siehe smtpd_ in main.cf)
###
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_security_level=may
-o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
-o smtpd_tls_mandatory_ciphers=high
-o smtpd_tls_exclude_ciphers=ECDHE-RSA-RC4-SHA
-o smtpd_tls_mandatory_exclude_ciphers=ECDHE-RSA-RC4-SHA
-o smtpd_tls_received_header=yes
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
-o smtpd_sasl_security_options=noanonymous
-o smtpd_sender_login_maps=ldap:/etc/postfix/ldap/sender_login_maps.cf
###
### Submission-Zugang für Clients (mit STARTTLS - für Rückwärtskompatibilität) - Port 587
###
## submission inet n - y - - smtpd
## -o syslog_name=postfix/submission
## -o smtpd_tls_security_level=encrypt
## -o smtpd_sasl_auth_enable=yes
## -o smtpd_sasl_type=dovecot
## -o smtpd_sasl_path=private/auth
## -o smtpd_sasl_security_options=noanonymous
## -o smtpd_client_restrictions=$mua_client_restrictions
## -o smtpd_sender_restrictions=$mua_sender_restrictions
## -o smtpd_relay_restrictions=$mua_relay_restrictions
## -o milter_macro_daemon_name=ORIGINATING
## -o smtpd_sender_login_maps=ldap:/etc/postfix/ldap/sender_login_maps.cf
## -o smtpd_helo_required=no
## -o smtpd_helo_restrictions=
## -o cleanup_service_name=submission-header-cleanup
###
### Weitere wichtige Dienste für den Serverbetrieb
###
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
###
### Cleanup-Service um MUA header zu entfernen
###
submission-header-cleanup unix n - n - 0 cleanup
-o header_checks=regexp:/etc/postfix/submission_header_cleanupServer / Postfix Versionen
Code: Alles auswählen
root@dsme01:~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 11 (bullseye)
Release: 11
Codename: bullseye
root@dsme01:~# dpkg -l postfix
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name Version Architektur Beschreibung
+++-==============-================-============-=====================================
ii postfix 3.5.18-0+deb11u1 amd64 High-performance mail transport agent
