[SOLVED] Mails von bestimmten absendern kommen nicht an

swoop

Member
Mar 25, 2021
82
3
8
Hallo,

ich habe ein komisches Problem. Von einigen absendern, hauptsächlich Banken, kommen Mails bei uns nicht an.
Im Augenblick versuche ich mit einem Mitarbeiter eines Rechenzentrum mehrerer Banken herauszufinden, warum von einer Bank keine Mails bei uns einlangen.
Im Log finden wir folgnedes:
Code:
Oct 19 16:31:31 mail postfix/smtpd[3489197]: connect from mx02.rz.tld[IP.add.res.se]
Oct 19 16:31:31 mail postfix/smtpd[3489197]: SSL_accept error from mx02.rz.tld[IP.add.res.se]: -1
Oct 19 16:31:31 mail postfix/smtpd[3489197]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2283:
Oct 19 16:31:31 mail postfix/smtpd[3489197]: lost connection after STARTTLS from mx02.rz.tld[IP.add.res.se]
Oct 19 16:31:31 mail postfix/smtpd[3489197]: disconnect from mx02.rz.tld[IP.add.res.se] ehlo=1 starttls=0/1 commands=1/2

Laut der Konfig unseres Servers sind folgende Ciphers vorhanden:
Code:
root@mail:/etc/postfix# openssl ciphers
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:
DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:
DHE-RSA-AES128-SHA:RSA-PSK-AES256-GCM-SHA384:DHE-PSK-AES256-GCM-SHA384:RSA-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:
ECDHE-PSK-CHACHA20-POLY1305:AES256-GCM-SHA384:PSK-AES256-GCM-SHA384:PSK-CHACHA20-POLY1305:RSA-PSK-AES128-GCM-SHA256:
DHE-PSK-AES128-GCM-SHA256:AES128-GCM-SHA256:PSK-AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:ECDHE-PSK-AES256-CBC-SHA384:
ECDHE-PSK-AES256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:RSA-PSK-AES256-CBC-SHA384:DHE-PSK-AES256-CBC-SHA384:
RSA-PSK-AES256-CBC-SHA:DHE-PSK-AES256-CBC-SHA:AES256-SHA:PSK-AES256-CBC-SHA384:PSK-AES256-CBC-SHA:ECDHE-PSK-AES128-CBC-SHA256:
ECDHE-PSK-AES128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:RSA-PSK-AES128-CBC-SHA256:DHE-PSK-AES128-CBC-SHA256:
RSA-PSK-AES128-CBC-SHA:DHE-PSK-AES128-CBC-SHA:AES128-SHA:PSK-AES128-CBC-SHA256:PSK-AES128-CBC-SHA

Laut dem Admin des RZs muss dieser Cipher installiert sein und soweit ich sehe, ist er in den angebotenen Ciphern dabei.
ECDHE-RSA-AES256-GCM-SHA384

Wenn ich aber nun einen Test per: https://www.immuniweb.com
mache, werden andere Cipher angezeigt nur nicht der den der Admin angibt.
1666190843129.png

In der Config von Postfix ist der Cipher auch dabei. (keine Sorge, ich habe es über das Template gemacht und die Config daraus erstellt)
Code:
tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256

Ach ja, es werden Let's Encrypt Zertifikate eingesetzt.

Kann mir bitte jemand einen Tipp geben, in welche Richtung ich weitersuchen kann, dass der Cipher auch angeboten wird?

Danke
 
Last edited:

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
7,760
1,280
169
ich habe ein komisches Problem. Von einigen absendern, hauptsächlich Banken, kommen Mails bei uns nicht an.
Im Augenblick versuche ich mit einem Mitarbeiter eines Rechenzentrum mehrerer Banken herauszufinden, warum von einer Bank keine Mails bei uns einlangen.
Im Log finden wir folgnedes:
funktioniert der Mailempfang wenn TLS gänzlich ausgeschaltet ist?


ohne es explizit zu testen - pmg ist (damit auch alte smtp-server lieber mit veralteter Verschlüsselung anstatt gänzlich plain-text verwenden), wie postfix auch, auf die medium ciphers konfiguriert - du hast aber die high_cipherlist gesetzt

versuch die tls_medium_cipherlist auf die von dir gewünschte zu setzen - ohne es genau zu analysieren - glaube ich damit fällt halt perfect forward secrecy weg... (nehme an die Bank will tls intercepten und analysieren... )

Ich hoffe das hilft!
 

swoop

Member
Mar 25, 2021
82
3
8
Hallo Stoiko,

danke für die Antwort, aber leider verstehe ich nicht ganz was du meinst.

Ja die Bank verlangt TLS.
Dazu habe ich eine Anleitung gefunden, wie mal alte TLS/SSL deaktiviert und nur noch mit aktuellem TLS fährt.
https://tgraeber.de/proxmox-mail-gateway-7-tls/

Dadurch sind alle unzuriechenden Cipher ausgeschlossen.
Soweit funktioniert auch immer noch alles, bis auf die Mails von der "blöden" Bank und noch einem anderen Absender. Diese Mails sind aber wichtig, daher sollte ich das irgend wie hinbekommen.

Aber obwohl in der Config genau dieser Cipher steht, den die Bank will, wird er nicht angeboten.
Ich habe in der Config 12 Cipher drin siehe tls_high_cipherlist (im 1. Post) aber nur 5 davon werden angeboten, laut https://www.immuniweb.com
Hast du eine Idee warum? bzw. wie ich Postfix dazu bekomme, dass er alle anbietet?

Danke für die Mühe
SG
 

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
7,760
1,280
169
Ja die Bank verlangt TLS.
dann wäre es wohl nett wenn sie auch die standard-ciphers in tls 1.3 akzeptieren würde ... (aber tut hier nichts zur Sache)


Dazu habe ich eine Anleitung gefunden, wie mal alte TLS/SSL deaktiviert und nur noch mit aktuellem TLS fährt.
https://tgraeber.de/proxmox-mail-gateway-7-tls/
da wird aber einiges mehr an der postfix config veraendert als nur die tls_high_cipherlist...
bitte die modifizierten config-templates von dem system, dass die mail nicht annehmen will mal posten.

Dadurch sind alle unzuriechenden Cipher ausgeschlossen.
Wie gesagt - damit ist Kommunikation mit sehr alten SMTP-Servern (die es leider durchaus gibt) halt plaintext.
 

swoop

Member
Mar 25, 2021
82
3
8
Danke für die schnelle Antwort.

Ja, das wäre schön, aber laut dem Admin, kann der Mailer TLS1.3 noch nicht. Es werde daran gearbeitet.

Anbei die main.cf template.

Danke fürs drüberschauen.
 

Attachments

  • main.cf.in.txt
    5.9 KB · Views: 5

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
7,760
1,280
169
Naja - da ist ja durchaus einiges noch zusätzlich an TLS options gesetzt ...
und auch wenn ich mit dieser config immer noch im sslscan output sehe, dass der gewünschte cipher gelistet ist kann da allein schon die cipher preemption die Kommunikation verunmöglichen.

Ich glaube das beste wäre mal die Modifikationen rückgängig zu machen (wenn sonst nichts daran getan wurde, einfach das template aus /etc/pmg/template löschen) und versuchen ob der Empfang mit der default config geht.

(Danach kann wenn wirklich gewünscht, die Konfig schrittweise angepasst werden, bis das Setting, dass es kaputt macht gefunden ist)

Ich hoffe das hilft!
 

swoop

Member
Mar 25, 2021
82
3
8
Hallo Stoiko,

danke für die Info, ich habe jetzt mal ein bisschen herumexperimentiert aber es bisher nicht geschafft irgendeinen Cipher mit RSA Verschlüsselung einzustellen obwohl der gewünschte in der Konfig drin ist.
Ich hab es aber geschafft, dass mehr Cipher angeboten werden.
Code:
TLSv1.2 (server order)
 xc02c   ECDHE-ECDSA-AES256-GCM-SHA384     ECDH 384   AESGCM      256      TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
 xcca9   ECDHE-ECDSA-CHACHA20-POLY1305     ECDH 384   ChaCha20    256      TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256    
 xc0af   ECDHE-ECDSA-AES256-CCM8           ECDH 384   AESCCM8     256      TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8
 xc0ad   ECDHE-ECDSA-AES256-CCM            ECDH 384   AESCCM      256      TLS_ECDHE_ECDSA_WITH_AES_256_CCM
 xc05d   ECDHE-ECDSA-ARIA256-GCM-SHA384    ECDH 384   ARIAGCM     256      TLS_ECDHE_ECDSA_WITH_ARIA_256_GCM_SHA384
 xc024   ECDHE-ECDSA-AES256-SHA384         ECDH 384   AES         256      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
 xc073   ECDHE-ECDSA-CAMELLIA256-SHA384    ECDH 384   Camellia    256      TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384      
 xc00a   ECDHE-ECDSA-AES256-SHA            ECDH 384   AES         256      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 xc02b   ECDHE-ECDSA-AES128-GCM-SHA256     ECDH 384   AESGCM      128      TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 xc0ae   ECDHE-ECDSA-AES128-CCM8           ECDH 384   AESCCM8     128      TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8
 xc0ac   ECDHE-ECDSA-AES128-CCM            ECDH 384   AESCCM      128      TLS_ECDHE_ECDSA_WITH_AES_128_CCM
 xc05c   ECDHE-ECDSA-ARIA128-GCM-SHA256    ECDH 384   ARIAGCM     128      TLS_ECDHE_ECDSA_WITH_ARIA_128_GCM_SHA256
 xc023   ECDHE-ECDSA-AES128-SHA256         ECDH 384   AES         128      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
 xc072   ECDHE-ECDSA-CAMELLIA128-SHA256    ECDH 384   Camellia    128      TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256      
 xc009   ECDHE-ECDSA-AES128-SHA            ECDH 384   AES         128      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLSv1.3 (server order)
 x1302   TLS_AES_256_GCM_SHA384            ECDH 384   AESGCM      256      TLS_AES_256_GCM_SHA384
 x1303   TLS_CHACHA20_POLY1305_SHA256      ECDH 384   ChaCha20    256      TLS_CHACHA20_POLY1305_SHA256
 x1301   TLS_AES_128_GCM_SHA256            ECDH 384   AESGCM      128      TLS_AES_128_GCM_SHA256

Wie man sieht ist weder ein RSA noch ein ECDHE-RSA Cipher zu sehen.
Es ist zum haareausrupfen.

Ich hab einen internen Mailserer der den gewünschten Cipher anbietet. Ich bin der Meinung die Konfig in Bezug auf TLS kopiert zu haben. Aber dem scheint nicht so zu sein, da der interne noch andere Cipher anbietet.

Kann mir jemand einen Tipp geben wie ich Posfix dazu bewege, auch RSA Cipher anzubieten?

SG
 
Last edited:

swoop

Member
Mar 25, 2021
82
3
8
Hallo alle dies interesiert,

ich bin draufgekommen, was das Problem ist, dass nur die ECDHE- Cipher angeboten werden.
Und zwar kommt es drauf an wie das SSL-Zertifikat erstellt wird. Hierzu verwende ich Let's Encrypt Zertifikate.

Um nun ein RSA-Zertifikat zu erstellen braucht es mit dem Programm acme.sh folgendes:
./acme.sh --issue -d mail.domain.tld --keylength 4096 --standalone

Um ECDSA Cipher anzubieten muss ein Zertifikat wie folgt erstellt werden:
./acme.sh --issue -d mail.domain.tld --keylength ec-384 --standalone

Um dem PMG alte Cipher abzugewöhnen und TLS zu verwenden folgt dieser Anleitung:
https://tgraeber.de/proxmox-mail-gateway-7-tls/

Anschließend muss in /etc/pmg/templates/main.cf.in fongendes eingetragen/geändert werden:
Code:
# Pfad zum CA Zertifikat
smtpd_tls_CAfile = /pfad/zum/ca.cer
# TLS RSA public / private keys
smtpd_tls_cert_file = /pfad/zum/mail.domain.tld.cer
smtpd_tls_key_file = /pfad/zum/mail.domain.tld.key
# TLS ECDSA public / private keys
smtpd_tls_eccert_file = /pfad/zum/mail.domain.tld_ecc.cer
smtpd_tls_eckey_file = /pfad/zum/mail.domain.tld_ecc.key

Dann noch
pmgconfig sync --restart 1
ausführen. Ab jetzt sollten auch die RSA Cipher angeboten werden.

Aber es müssen Zwei Zertifikate gemanaged werden.
 
  • Like
Reactions: Stoiko Ivanov

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
7,760
1,280
169
ich bin draufgekommen, was das Problem ist, dass nur die ECDHE- Cipher angeboten werden.
Und zwar kommt es drauf an wie das SSL-Zertifikat erstellt wird. Hierzu verwende ich Let's Encrypt Zertifikate.
danke für das posten der Lösung - hätte mich auch einiges an Zeit gekostet da draufzukommen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!