SMTP TLS ohne Funktion

A

aho_1000

New Member
Jul 25, 2019
5
0
1
34
Hallo zusammen,

leider bekomme ich es nicht hin TLS zum Laufen zu bekommen. In den Settings sind TLS + TLS Logging hinterlegt. Ein vorhandenes Zertifikat über certbot generiert liegt auf im korrekten Pfad, bzw. wurde nach einer Anleitung von hier eingerichtet.

Jedoch bekomme ich auf verschiedensten Test Seiten nie ein erfolgreiche Ergebnis über TLS wie z.B. auf checktls oder mxtoolbox.

Vielen Dank!
 
Der erste Fehler ist natürlich schon mal der certbot und Let's Encrypt, aber abgesehen davon^^:

Folgende Pfade?

/etc/pmg/pmg-api.pem => Zertifikat für die GUI und API
/etc/pmg/pmg-tls.pem => Zertifikat für den Mailserver

Danach dann auch die entsprechenden Dienste neu gestartet?

Im Zweifel wären mehr Details hilfreich.
 
Na ja, über certbot versuche ich in erster Linie ein Problem mit meinem anderen Zertifikat auszuschließen.

Korrekt in beiden Pfaden liegen die passenden Zertifikate. Der komplette ProxMox wurde mehrmals neugestartert. Im Log ist leider kein TLS Problem zu finden.

Welche Details wären noch hilfreich?
 
Hm - bitte mal den postfix neustarten, so einen test nochmal durchführen, und das mail.log seit dem neustart posten.
Ansonsten bitte auch einen Report/Screenshot von diesen Test seiten anhängen.

Danke
 
aho_1000 said:
Na ja, über certbot versuche ich in erster Linie ein Problem mit meinem anderen Zertifikat auszuschließen.

Korrekt in beiden Pfaden liegen die passenden Zertifikate. Der komplette ProxMox wurde mehrmals neugestartert. Im Log ist leider kein TLS Problem zu finden.

Welche Details wären noch hilfreich?
Click to expand...

Ah, ok, ich bin halt ein totaler Gegner von Lösungen, die an meiner Sicherheitskonfiguration automatisch herumschieben (zumindest im kommerziellen Einsatz) und Lösungen, die propagieren, daß Automatismus das Allheilmittel der Internetsicherheit sei und diese explizit erfordern.

Hmm, Details wären hilfreich, was denn nun der Fehler ist, gar keine TLS-Verbindung oder was kommt da raus. Was steht dazu im mail.log in Verbindung mit den Verbindungsversuchen. Ist eine lokale Verbindung möglich? Geht es um STARTTLS (SMTP) oder generell TLS (Port 465 wie auch 587 werden per default nicht bereitgestellt)? Im Zweifel wie lautet der Hostname, um da selbst etwas mehr testen zu können.
 
Stoiko Ivanov said:
Hm - bitte mal den postfix neustarten, so einen test nochmal durchführen, und das mail.log seit dem neustart posten.
Ansonsten bitte auch einen Report/Screenshot von diesen Test seiten anhängen.

Danke
Click to expand...

Alles klar, Dienst neugestartet und Test erneut ausgeführt hier die Auszüge / Screenshots.

Jul 26 13:44:01 spam postfix/postfix-script[26200]: stopping the Postfix mail system
Jul 26 13:44:01 spam postfix/master[797]: terminating on signal 15
Jul 26 13:44:01 spam postfix/postfix-script[26380]: starting the Postfix mail system
Jul 26 13:44:01 spam postfix/master[26382]: daemon started -- version 3.1.9, configuration /etc/postfix
Jul 26 13:44:26 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:37330 to [172.30.1.34]:25
Jul 26 13:44:26 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:37330
Jul 26 13:44:26 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:26 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 mail=1 quit=1 commands=3
Jul 26 13:44:28 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:61089 to [172.30.1.34]:25
Jul 26 13:44:28 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:61089
Jul 26 13:44:28 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:28 spam postfix/smtpd[26640]: lost connection after AUTH from unknown[172.30.1.246]
Jul 26 13:44:28 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 auth=0/1 commands=1/2
Jul 26 13:44:35 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:52235 to [172.30.1.34]:25
Jul 26 13:44:35 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:52235
Jul 26 13:44:35 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:36 spam postfix/smtpd[26640]: lost connection after AUTH from unknown[172.30.1.246]
Jul 26 13:44:36 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 auth=0/1 commands=1/2
Jul 26 13:44:42 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:58156 to [172.30.1.34]:25
Jul 26 13:44:42 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:58156
Jul 26 13:44:42 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:42 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:58159 to [172.30.1.34]:25
Jul 26 13:44:42 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:58159
Jul 26 13:44:42 spam postfix/smtpd[26824]: connect from unknown[172.30.1.246]
Jul 26 13:46:14 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:27837 to [172.30.1.34]:25
Jul 26 13:46:14 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:27837
Jul 26 13:46:14 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:46:16 spam postfix/smtpd[26640]: NOQUEUE: reject: RCPT from unknown[172.30.1.246]: 454 4.7.1 <test@mxtoolboxsmtpdiag.com>: Relay access denied; from=<supertool@mxtoolbox.com> to=<test@mxtoolboxsmtpdiag.com> proto=ESMTP helo=<keeper-us-east-1c.mxtoolbox.com>
Jul 26 13:46:17 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4

Yrs59AW.png



heutger said:
Ah, ok, ich bin halt ein totaler Gegner von Lösungen, die an meiner Sicherheitskonfiguration automatisch herumschieben (zumindest im kommerziellen Einsatz) und Lösungen, die propagieren, daß Automatismus das Allheilmittel der Internetsicherheit sei und diese explizit erfordern.

Hmm, Details wären hilfreich, was denn nun der Fehler ist, gar keine TLS-Verbindung oder was kommt da raus. Was steht dazu im mail.log in Verbindung mit den Verbindungsversuchen. Ist eine lokale Verbindung möglich? Geht es um STARTTLS (SMTP) oder generell TLS (Port 465 wie auch 587 werden per default nicht bereitgestellt)? Im Zweifel wie lautet der Hostname, um da selbst etwas mehr testen zu können.
Click to expand...

Soweit ich erkennen kann findet keinerlei TLS Verbindung statt. Mein Problem bezieht sich aber auf STARTTLS (SMTP). Hostname kann ich leider nicht preis geben.. Falls die Info noch hilft, der Mail Server hinter dem Mail Gateway unterstützt STARTTLS. Bzw. hier fallen alle Tests erfolgreich aus!
 
aho_1000 said:
Alles klar, Dienst neugestartet und Test erneut ausgeführt hier die Auszüge / Screenshots.

Jul 26 13:44:01 spam postfix/postfix-script[26200]: stopping the Postfix mail system
Jul 26 13:44:01 spam postfix/master[797]: terminating on signal 15
Jul 26 13:44:01 spam postfix/postfix-script[26380]: starting the Postfix mail system
Jul 26 13:44:01 spam postfix/master[26382]: daemon started -- version 3.1.9, configuration /etc/postfix
Jul 26 13:44:26 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:37330 to [172.30.1.34]:25
Jul 26 13:44:26 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:37330
Jul 26 13:44:26 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:26 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 mail=1 quit=1 commands=3
Jul 26 13:44:28 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:61089 to [172.30.1.34]:25
Jul 26 13:44:28 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:61089
Jul 26 13:44:28 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:28 spam postfix/smtpd[26640]: lost connection after AUTH from unknown[172.30.1.246]
Jul 26 13:44:28 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 auth=0/1 commands=1/2
Jul 26 13:44:35 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:52235 to [172.30.1.34]:25
Jul 26 13:44:35 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:52235
Jul 26 13:44:35 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:36 spam postfix/smtpd[26640]: lost connection after AUTH from unknown[172.30.1.246]
Jul 26 13:44:36 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 auth=0/1 commands=1/2
Jul 26 13:44:42 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:58156 to [172.30.1.34]:25
Jul 26 13:44:42 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:58156
Jul 26 13:44:42 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:44:42 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:58159 to [172.30.1.34]:25
Jul 26 13:44:42 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:58159
Jul 26 13:44:42 spam postfix/smtpd[26824]: connect from unknown[172.30.1.246]
Jul 26 13:46:14 spam postfix/postscreen[26639]: CONNECT from [172.30.1.246]:27837 to [172.30.1.34]:25
Jul 26 13:46:14 spam postfix/postscreen[26639]: WHITELISTED [172.30.1.246]:27837
Jul 26 13:46:14 spam postfix/smtpd[26640]: connect from unknown[172.30.1.246]
Jul 26 13:46:16 spam postfix/smtpd[26640]: NOQUEUE: reject: RCPT from unknown[172.30.1.246]: 454 4.7.1 <test@mxtoolboxsmtpdiag.com>: Relay access denied; from=<supertool@mxtoolbox.com> to=<test@mxtoolboxsmtpdiag.com> proto=ESMTP helo=<keeper-us-east-1c.mxtoolbox.com>
Jul 26 13:46:17 spam postfix/smtpd[26640]: disconnect from unknown[172.30.1.246] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4

Yrs59AW.png





Soweit ich erkennen kann findet keinerlei TLS Verbindung statt. Mein Problem bezieht sich aber auf STARTTLS (SMTP). Hostname kann ich leider nicht preis geben.. Falls die Info noch hilft, der Mail Server hinter dem Mail Gateway unterstützt STARTTLS. Bzw. hier fallen alle Tests erfolgreich aus!
Click to expand...

Hmm, komisch, SMTP-Verbindung geht, TLS aber nicht. Wie sieht denn die /etc/postfix/main.cf aus?
 
heutger said:
Hmm, komisch, SMTP-Verbindung geht, TLS aber nicht. Wie sieht denn die /etc/postfix/main.cf aus?
Click to expand...

Siehe hier.

# auto-generated by proxmox

compatibility_level = 2
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix/sbin
data_directory = /var/lib/postfix

# appending .domain is the MUA's job.
append_dot_mydomain = yes

smtpd_banner = $myhostname
biff = no


delay_warning_time = 4h


best_mx_transport = local
message_size_limit = 25485760
mailbox_size_limit = 51200000

mydomain = --
myhostname = --

parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,smtpd_access_maps

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = localhost, $myhostname
mynetworks = --

relay_domains = hash:/etc/pmg/domains

transport_maps = hash:/etc/pmg/transport



relay_transport = smtp:--:25





content_filter=scan:127.0.0.1:10024

mail_name = Proxmox


smtpd_helo_restrictions =

section: admin
email --
statlifetime 30

section: mail
banner --
maxsize 25485760
relay --
tls 1
tlsheader 1
tlslog 1

section: spamquar
lifetime 30
 
aho_1000 said:
Siehe hier.

# auto-generated by proxmox

compatibility_level = 2
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix/sbin
data_directory = /var/lib/postfix

# appending .domain is the MUA's job.
append_dot_mydomain = yes

smtpd_banner = $myhostname
biff = no


delay_warning_time = 4h


best_mx_transport = local
message_size_limit = 25485760
mailbox_size_limit = 51200000

mydomain = --
myhostname = --

parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,smtpd_access_maps

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = localhost, $myhostname
mynetworks = --

relay_domains = hash:/etc/pmg/domains

transport_maps = hash:/etc/pmg/transport



relay_transport = smtp:--:25





content_filter=scan:127.0.0.1:10024

mail_name = Proxmox


smtpd_helo_restrictions =

section: admin
email --
statlifetime 30

section: mail
banner --
maxsize 25485760
relay --
tls 1
tlsheader 1
tlslog 1

section: spamquar
lifetime 30
Click to expand...

OK, er scheint TLS nicht übernommen zu haben. Vielleicht mal versuchen, es ab- und wieder anzuschalten, ob das eine Veränderung ergibt. Ich nehme an, es gibt keine Anpassungen an der main.cf.in über /etc/pmg/templates? Ansonsten hätte es natürlich sein können, daß darüber Einstellungen aus Verstehen entfernt wurden. Auch ggf. mal pmgconfig mal einen Sync ausführen, daß er wirklich die Einstellungen noch mal übernimmt (synct).
 
heutger said:
OK, er scheint TLS nicht übernommen zu haben. Vielleicht mal versuchen, es ab- und wieder anzuschalten, ob das eine Veränderung ergibt. Ich nehme an, es gibt keine Anpassungen an der main.cf.in über /etc/pmg/templates? Ansonsten hätte es natürlich sein können, daß darüber Einstellungen aus Verstehen entfernt wurden. Auch ggf. mal pmgconfig mal einen Sync ausführen, daß er wirklich die Einstellungen noch mal übernimmt (synct).
Click to expand...

Da hat jemand mein Wochenende gerettet, es lag tatsächlich an den Templates... in den main.cf im templates Ordner hat quasi 90% gefehlt, inklusive folgender Einträge. Danach einmal die Config gesynct und siehe da TLS funktioniert! Vielen Dank dir!

[% IF pmg.mail.tls %]
smtp_tls_security_level = may
smtp_tls_policy_maps = hash:/etc/pmg/tls_policy
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/pmg/pmg-tls.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
[% IF pmg.mail.tlslog %]
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
[% END %]
[% IF pmg.mail.tlsheader %]
smtpd_tls_received_header = yes
[% END %]
[% END %]
 
aho_1000 said:
Da hat jemand mein Wochenende gerettet, es lag tatsächlich an den Templates... in den main.cf im templates Ordner hat quasi 90% gefehlt, inklusive folgender Einträge. Danach einmal die Config gesynct und siehe da TLS funktioniert! Vielen Dank dir!

[% IF pmg.mail.tls %]
smtp_tls_security_level = may
smtp_tls_policy_maps = hash:/etc/pmg/tls_policy
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/pmg/pmg-tls.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
[% IF pmg.mail.tlslog %]
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
[% END %]
[% IF pmg.mail.tlsheader %]
smtpd_tls_received_header = yes
[% END %]
[% END %]
Click to expand...

Gerne. Weitere Tipps gibt es in "meinem" Advancing Thread im englischen Forum, die TLS-Einstellungen per default sind halt sehr weak, da kann man noch so einiges optimieren.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom