best. Anforderungen an Mailserver realisierbar?

[Duff]

So, mit folgender weiteren IPTABLES-Regel kann ich nun übers Internet auf den Mailserver zugreifen.

Code: Alles auswählen

iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW -j ACCEPT

Mich wundert allerdings, dass ich nicht nach einem Zertifikat im icedove gefragt wurde. Eine durch TLS gesicherte Verbindung wird auch nicht wirklich aufgebaut.
Wenn ich in den Einstellungen von icedove TLS verwenden angebe, sehe ich syslog des Servers immer eine Fehlermeldung von iptables.

Code: Alles auswählen

May 22 19:30:08 homer imapd: LOGOUT, user=mfirma, ip=[::ffff:81.121.109.236], headers=0, body=7820, rcvd=316, sent=9462, time=116
May 22 19:30:10 homer kernel: 4all (INPUT) :IN=eth0 OUT= MAC=00:1e:8c:9c:a0:0a:00:04:0e:a0:8b:c2:08:00 SRC=81.121.109.236 DST=192.168.1.99 LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=65163 DF PROTO=TCP SPT=63073 DPT=143 WINDOW=5840 RES=0x00 SYN URGP=0 
May 22 19:30:10 homer kernel: 4all (INPUT) :IN=eth0 OUT= MAC=00:1e:8c:9c:a0:0a:00:04:0e:a0:8b:c2:08:00 SRC=81.121.109.236 DST=192.168.1.99 LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=65163 DF PROTO=TCP SPT=63073 DPT=143 WINDOW=5840 RES=0x00 SYN URGP=0 
May 22 19:30:10 homer imapd: Connection, ip=[::ffff:81.121.109.236]

In icedove erscheint die Fehermeldung:

Der aktuelle Befehl war nicht erfolgreich. Der Mail-Server antwortete: Error in IMAP command received by server ...

Irgendwas scheine ich noch vergessen zu haben...

[Duff]

Mmh, dass Ganze mit der TLS Verbindung will auch nicht lokal funktionieren (also im Netzwerk direkt).

Hier nochmal meine main.cf und master.cf.

main.cf

Code: Alles auswählen

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
readme_directory = no
smtp_use_tls = yes
smtpd_tls_received_header = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/CAcert.pem
smtpd_tls_loglevel = 3
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients=yes
smtpd_recipient_restrictions=permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_security_options=noanonymous
myhostname = homer.MYDOMAIN.local
mydomain = MYDOMAIN.local
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = $myhostname, localhost.$mydomain, $mydomain, localhost
mynetworks = 127.0.0.0/8 192.168.1.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
content_filter=smtp-amavis:[127.0.0.1]:10024
home_mailbox = Maildir/
virtual_alias_domains = MYDOMAIN.local
virtual_alias_maps = hash:/etc/postfix/virtual_alias

Ersetze ich den "alten" Parameter smtp_use_tls = yes durch den "neuen" Parameter smtp_tls_security_level = may funktioniert es auch nicht. Der Parametername wird aber auch nicht in einer anderen Farbe angezeigt, wie es beim alten der FAll ist.

master.cf

Code: Alles auswählen

smtp      inet  n       -       n       -       -       smtpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
smtp-amavis     unix    -       -       n       -       2       smtp
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes
        -o disable_dns_lookups=yes
127.0.0.1:10025 inet    n       -       n       -       -       smtpd
        -o content_filter=
   -o smtpd_delay_reject=no
   -o smtpd_client_restrictions=permit_mynetworks,reject
   -o smtpd_helo_restrictions=
   -o smtpd_sender_restrictions=
   -o smtpd_recipient_restrictions=permit_mynetworks,reject
   -o smtpd_data_restrictions=reject_unauth_pipelining
   -o smtpd_end_of_data_restrictions=
   -o smtpd_restriction_classes=
   -o smtpd_error_sleep_time=0
   -o smtpd_soft_error_limit=1001
   -o smtpd_hard_error_limit=1000
   -o smtpd_client_connection_count_limit=0
   -o smtpd_client_connection_rate_limit=0
   -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
   -o local_header_rewrite_clients=
   -o smtpd_milters=
   -o local_recipient_maps=
   -o relay_recipient_maps=
   -o mynetworks=127.0.0.0/8,192.168.1.0/24

Eventuell noch eine Idee?
Im Logfile kann ich auch keine Informtionen finden....

Bin mittlerweile ratlos.

[daniel74]

Ersetze ich den "alten" Parameter smtp_use_tls = yes durch den "neuen" Parameter smtp_tls_security_level = may funktioniert es auch nicht. Der Parametername wird aber auch nicht in einer anderen Farbe angezeigt, wie es beim alten der FAll ist.

Probier' mal bitte

smtpd_tls_security_level = may

smtp_* verwendest du, wenn Postfix als Client herhalten soll. smtpd_* ist für den eigentlichen Serverdienst.

Ich hoffe, dass es daran liegt

[Duff]

Sorry, da ist mir wohl ein Tippfehler passiert. Ich meinte auch smtpd_tls_security_level = may.

Habe aber ein anderes Problem bei mir gefunden. Ein sehr "dummes". Hatte courier-imap-ssl gar nicht installiert. Nun kann ich per ssl aber nicht per tls eine Verbindung vom Mailclient zum Server aufbauen. Die Parameter für die Zeritifakte in der main.cf von postfix werden aber nicht gezogen.

Stattdessen wird das Zertifikat von courier-ssl (oder so ähnlich) von courier gezogen.

[daniel74]

In der main.cf von Postfix sieht soweit alles ganz gut aus...

Du kannst jedoch noch die Option

Code: Alles auswählen

smtpd_tls_auth_only = yes

in der main.cf angeben. Das bedeutet, dass dem Client die Möglichkeit zur Authentifizierung nur dann angeboten wird, wenn eine verschlüsselte Verbindung hergestellt worden ist.

Wenn Icedove etc. richtig konfiguriert ist (STARTTLS), dann sollte eigentlich TLS verwendet werden. Ansonsten bekommst du wieder eine Meldung wie "Relay access denied".

Wenn du derzeit E-Mails versenden kannst (zumindest innerhalb deines lokalen Netzes), dann werden vermutlich im Moment die Benutzerinformationen unverschlüsselt übertragen.

[Duff]

Mir geht es aktuell eigentlich erstmal um das Abrufen von Mails per imap. Dies soll durch TLS/SSL geschehen. In icedove habe nur mit der Option SSL eine Verbindung herstellen können. Mit TLS nicht. Das zu bestätigende Zertifikat bei ssl ist aber das aus der courier-ssl Konfiguration und nicht das aus der main.cf Konfiguration von postfix.

Des Weiteren kann ich den Punkt "sichere Authentifizierung" (oder so ähnlich) in Icedove zwar anklicken, wird aber nicht von postfix & co angenommen.

[daniel74]

Das zu bestätigende Zertifikat bei ssl ist aber das aus der courier-ssl Konfiguration und nicht das aus der main.cf Konfiguration von postfix.

Das ist eigentlich in Ordnung, da Postfix und Courier verschiedene Zertifikate verwenden sollten. Wenn SSL mit dem Courier IMAP klappt dann ist es OK.

Die Option "sichere Authentifizierung" ist nicht erforderlich.

[Duff]

Die Option "sichere Authentifizierung" ist nicht erforderlich.

Was bedeutet diese denn bei den E-Mail Clients?
Wenn ich doch schon eine sichere Verbindung durch TLS/SSL aufbaue, dann ist dies doch sicher.

[daniel74]

Ja, SSL/TLS ist sicher. Unter "sichere Authentifizierung" bei den E-Mail Clients kann man unter anderem diese Mechanismen zählen:

GSSAPI,Kerberos,CRAM-MD5,NTLM usw.

Je nach Konfiguration des Mailservers (SMTP/IMAP/POP3) kann dies erforderlich sein, wird aber eher selten verwendet. Häufig kommt primär SSL/TLS in Verbindung mit den "normalen" Mechanismen zum Einsatz.

[Duff]

So, wenn ich TLS nutzen möchte, bekomme ich in icedove als Fehlermeldung

Zeitüberschreitung der Verbindung mit Server 192.168.1.99

.
Bei SSL funktioniert es, wenn ich dem Zertifikat zustimme.

Nach Aktivierung des Parameters smtpd_tls_auth_only=yes bekomme ich nun bei der Option wenn möglich, TLS Verbindung im syslog diese Fehlermeldung:

Code: Alles auswählen

May 26 19:56:29 homer imapd-ssl: Unexpected SSL connection shutdown.

Auch der Eintrag

Code: Alles auswählen

# Die von postfix erlaubten SSL/TLS-Protokolle
smtpd_tls_mandatory_protocols=SSLv3, TLSv1

in der main.cf bringt nichts. Dieser wird aber auch nicht farblich markiert, sondern bleibt schwarz. Dieser Parameter müsste aber eigentlich erkannt werden ab postfix 2.3.

[daniel74]

So, wenn ich TLS nutzen möchte, bekomme ich in icedove als Fehlermeldung

Zeitüberschreitung der Verbindung mit Server 192.168.1.99

.
Bei SSL funktioniert es, wenn ich dem Zertifikat zustimme.

OK, SSL ist in Ordnung. Die Verbindung ist ja verschlüsselt. Vermutlich verwendet Icedove bei TLS den Port 465 TCP, was allerdings wegen der Firewall oder dem fehlenden Listener-Service nicht klappen kann.

Nach Aktivierung des Parameters smtpd_tls_auth_only=yes bekomme ich nun bei der Option wenn möglich, TLS Verbindung im syslog diese Fehlermeldung:

Code: Alles auswählen

May 26 19:56:29 homer imapd-ssl: Unexpected SSL connection shutdown.

Das ist für IMAP soweit in Ordnung. Diese Fehlermeldung im Log wird meist durch den Client verursacht - kann man ignorieren...

Auch der Eintrag

Code: Alles auswählen

# Die von postfix erlaubten SSL/TLS-Protokolle
smtpd_tls_mandatory_protocols=SSLv3, TLSv1

in der main.cf bringt nichts. Dieser wird aber auch nicht farblich markiert, sondern bleibt schwarz. Dieser Parameter müsste aber eigentlich erkannt werden ab postfix 2.3.

OK, IMAP - also Abrufen von E-Mails - funktioniert nun soweit, oder? Nur das Versenden klappt noch nicht? Hast du bei Icedove für den Versand über SMTP die Option "sichere Verbindung verwenden - TLS wenn verfügbar" oder so ähnlich aktiviert?

Was meinst du mit "...Dieser wird aber auch nicht farblich markiert..."?

[Duff]

OK, SSL ist in Ordnung. Die Verbindung ist ja verschlüsselt. Vermutlich verwendet Icedove bei TLS den Port 465 TCP, was allerdings wegen der Firewall oder dem fehlenden Listener-Service nicht klappen kann.

Ja, die Verbindung sollte per SSL verschlüsselt sein. Verstehe nur nicht, warum TLS nicht funktioniert. Trage für TLS auch den Port 993 ein.

OK, IMAP - also Abrufen von E-Mails - funktioniert nun soweit, oder? Nur das Versenden klappt noch nicht? Hast du bei Icedove für den Versand über SMTP die Option "sichere Verbindung verwenden - TLS wenn verfügbar" oder so ähnlich aktiviert?

Bin noch beim Abrufen. Das Versenden ist mir noch nicht so wichtig. Schaue ich mir anschließend an.
Und ja, es scheint nun zu funktionieren.

Was meinst du mit "...Dieser wird aber auch nicht farblich markiert..."?

Wenn ich in der Datei main.cf neue Parameter eintrage, werden diese normalerweise (linke Seite) in der Farbe gelb/orange angezeigt. Für mich bedeutet dies, dass postfix den Parameter kennt.

[Duff]

Noch eine Frage zu den Zertifikaten.

Ich habe nun ein Zertifikat erstellt und dieses durch mich selber signiert.

Theoretisch müsste ich doch den SHA1 Fingerprint auf dem Server mit dem herunter geladenen Zertifiakt im Mailprogramm überprüfen, oder?

Server:

Code: Alles auswählen

root@homer:/etc/courier# openssl x509 -noout -fingerprint -in mail_server.pem 
SHA1 Fingerprint=04:AB:DE:41:C1:DF:B8:20:FB:09:D6:53:47:80:49:AE:CC:F8:A6:F1

Dies müsste ich doch auch unter "Allgemein" -> "Fingerabdrücke" -> SHA1 Fingerprint in icedove sehen und erst nach Überprüfung bestätigen dürfen?

[daniel74]

Also der SHA1 oder MD5 Fingerprint sollte mit der Ausgabe von openssl übereinstimmen. Wenn sich das Zertifikat noch nicht im Zertifikatsspeicher befindet oder für "unsicher" befunden wird, dann sollte man eine entsprechende Meldung erhalten. Man kann sich das Zertifikat (IMAP) dann vorab anzeigen lassen und ggf. den Fingerprint dann entsprechend vergleichen. Nach dem dauerhaften Akzeptieren des Zertifikats sollte man keine weiteren Hinweise mehr erhalten.

[Duff]

Danke erstmal für die vielen und guten Hilfestellungen bei der Einrichtung meines Mail-Server, daniel74. Habe mir aber inzwischen auch das Buch Mailserver mit postfix oder so ähnlich zugelegt.
Dort wird leider nicht viel zu courier beschrieben ;-(

Muss ich den courier-imapd neben dem courier-imapd-ssl noch laufen lassen?
Wird dieser noch von squirrelmail, dem Web-Frontend benötigt, oder kann das auch direkt auf die ssl-Variante zugreifen?

[daniel74]

Habe mir aber inzwischen auch das Buch Mailserver mit postfix oder so ähnlich zugelegt.
Dort wird leider nicht viel zu courier beschrieben ;-(

Bestimmt wird Dovecot beschrieben...

Muss ich den courier-imapd neben dem courier-imapd-ssl noch laufen lassen?

Hmm, ich denke, es müssen beide Dienste laufen, bin mir aber nicht sicher. Du könntest den "normalen" Dienst (courier-imapd) mal stoppen und prüfen, ob der SSL-Dienst ebenfalls beendet wird.

Wird dieser noch von squirrelmail, dem Web-Frontend benötigt, oder kann das auch direkt auf die ssl-Variante zugreifen?

Ja, das geht.

[Duff]

Habe den courier-imap gestern mal gestoppt und konnte anschließend noch auf den courier-imap-ssl zugreifen. Allerdings war ich mir nicht sicher, ob dann squirrelmail noch funktioniert.
Da ich von außerhalb auf den Server zugregriffen habe und squirrelmail noch nicht in der firewall (iptables) freigeschaltet habe, konnte ich es nicht testen.

[Duff]

Kann die beiden Fehler nicht finden, warum das Maildir-Verzeichnis von postfix für den user /home/mfirma nicht angelegt wird und warum qpopper immer noch gesucht wird, obwohl ich es deinstalliert habe.

Was das mit qpopper auf sich hat weiss ich nicht, aber wegen dem Maildir:

In /etc/procmailrc oder in den benutzereigenen .procmailrc Dateien kannst du mal dise Einträge versuchen:

Code: Alles auswählen

MAILDIR=$HOME/Maildir/
DEFAULT=$MAILDIR 

Durch diesen Eintrag wurden dann endlich im Home-Verzeichnis des Benutzers das Maildir-Verzeichnis angelegt.
Nun habe ich oder will ich einen weiteren Benutzer hinzufügen.

Habe den entsprechenden Eintrag in der /etc/fetchmailrc gemacht und die Mails werden auch im Home-Verzeichnis des Benutzers abgelegt. Aber nicht im Maildir!
Wieso nicht?

Habe den Benutzer einfach in der /etc/postfix/virtual_alias so hinzugefügt:

Code: Alles auswählen

root@homer:/etc/postfix# cat virtual_alias
mfirma@MYDOMIAN.local		mfirma
mhomer@MYDOMIAN.local		mhomer

postmap virtual_alias und den postfix-daemon durchgestartet.
Ich kann mir zwar die Mails mit mail und mailx anschauen (lokal), aber es wird kein Maildir-Verzeichnis erstellt.
Verstehe nur noch nicht warum?

[Duff]

Vielleicht noch jemand eine Idee, was ich ausprobieren könnte, damit das Maildir-Verzeichnis im Home-Verzeichnis für den User mhomer angelegt wird?

Weiß mittlerweile nicht mehr weiter und weiß auch nicht, was ich noch ändern und überprüfen könnte.

[Duff]

Habe das Maildir mit samt Unterverzeichnissen nun mal händisch (mit Hilfe von maildirmake) erstellt. Anschließend die entsprechenden Rechte angepasst und mal eine Mail ins cur(rent) Verzeichnis geschoben. Die Mail konnte ich dann per icedove sehen und neue Mails wurden nun auch in dieses Verzeichnis verschoben.

Komisch, aber es scheint nun zu funktionieren!