[SOLVED] TLS Destination Policy

TFrenz

Member
May 13, 2020
100
8
23
59
Hallo, ich teste gerade zwischen zwei Proxmox systemen die TLS Destination Policy.
Wenn ich auf der Empfängerseite TLS ausschalte, und auf der sendenden Seite für die Domäne TLS Encrypt einstelle, werden die Mails trotzdem angenommen.
Im Empfangs Log steht aber nichts mehr über TLS drin.
Warum ist das so?

Gibt es eine detailierte Auflistung was die unterschiedlichen Destination Policys genau bedeuten?

Danke
 
* Bitte die logs zu einer zugehörigen mail (TLS auf destination seite aus - dennoch wird die mail zugestellt)
* Handelt es sich bei den domains um externe domains oder um welche, die in Relay Domains eingetragen sind (in dem Fall muss die Policy für das Relay gesetzt werden).

Gibt es eine detailierte Auflistung was die unterschiedlichen Destination Policys genau bedeuten?
siehe http://www.postfix.org/TLS_README.html#client_tls_policy

Ich hoffe das hilft!
 
Hallo anbei das log von der Destination Seite.
Auf der Sende Seite wird eine externe Domäne angeschrieben.

Code:
Aug 7 09:00:38 mta postfix/smtpd[7027]: connect from mail.zzzzz.de[46.x.xxx.xxx]
Aug 7 09:00:38 mta postfix/smtpd[7027]: E3C2F20366: client=mail.zzzzz.de[46.x.xxx.xxx]
Aug 7 09:00:38 mta postfix/cleanup[7032]: E3C2F20366: message-id=<OFC600CDE5.75D5ED69-ONC12585BD.002679C2-C12585BD.002682CE@zzzzz.de>
Aug 7 09:00:38 mta postfix/smtpd[7027]: disconnect from mail.zzzzz.de[46.x.xxx.xxx] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Aug 7 09:00:38 mta postfix/qmgr[6910]: E3C2F20366: from=<Administrator@zzzzz.de>, size=13899, nrcpt=1 (queue active)
Aug 7 09:00:38 mta pmg-smtp-filter[986]: 203675F2CFC16EACBA: new mail message-id=<OFC600CDE5.75D5ED69-ONC12585BD.002679C2-C12585BD.002682CE@zzzzz.de>#012
Aug 7 09:00:38 mta pmg-smtp-filter[986]: 203675F2CFC16EACBA: Subject: test TLS dane -> ebf TLS off
Aug 7 09:00:38 mta pmg-smtp-filter[986]: 203675F2CFC16EACBA: From: Administrator@zierl.de
Aug 7 09:00:39 mta pmg-smtp-filter[986]: 203675F2CFC16EACBA: SA score=0/5 time=0.991 bayes=undefined autolearn=no autolearn_force=no hits=AWL(0.450),HTML_IMAGE_ONLY_32(0.001),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),TO_NO_BRKTS_HTML_IMG(0.339)
Aug 7 09:00:39 mta postfix/smtpd[7037]: connect from localhost.localdomain[127.0.0.1]
Aug 7 09:00:39 mta postfix/smtpd[7037]: EE87520445: client=localhost.localdomain[127.0.0.1], orig_client=mail.zzzzz.de[46.x.xxx.xxx]
Aug 7 09:00:39 mta postfix/cleanup[7032]: EE87520445: message-id=<OFC600CDE5.75D5ED69-ONC12585BD.002679C2-C12585BD.002682CE@zierl.de>
Aug 7 09:00:40 mta postfix/qmgr[6910]: EE87520445: from=<Administrator@zzzzz.de>, size=14663, nrcpt=1 (queue active)
Aug 7 09:00:40 mta postfix/smtpd[7037]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Aug 7 09:00:40 mta pmg-smtp-filter[986]: 203675F2CFC16EACBA: accept mail to <thomas.fffff@fffff.de> (EE87520445) (rule: Whitelist)
Aug 7 09:00:40 mta pmg-smtp-filter[986]: 203675F2CFC16EACBA: processing time: 1.073 seconds (0.991, 0.01, 0)
Aug 7 09:00:40 mta postfix/lmtp[7033]: E3C2F20366: to=<thomas.frenz@ebf-frenz.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.1, delays=0.06/0/0/1.1, dsn=2.5.0, status=sent (250 2.5.0 OK (203675F2CFC16EACBA))
Aug 7 09:00:40 mta postfix/qmgr[6910]: E3C2F20366: removed
Aug 7 09:00:40 mta postfix/smtp[7038]: EE87520445: to=<thomas@fffff.de>, relay=192.168.yyy.yyy[192.168.yyy.yyy]:25, delay=0.07, delays=0.06/0.01/0/0, dsn=2.0.0, status=sent (250 Message accepted for delivery)
Aug 7 09:00:40 mta postfix/qmgr[6910]: EE87520445: removed
 
Aug 7 09:00:40 mta postfix/smtp[7038]: EE87520445: to=<thomas@fffff.de>, relay=192.168.yyy.yyy[192.168.yyy.yyy]:25,

* ich vermute mal das an fffff.de mit TLS policy encrypted gesendet werden soll?!
* relay=192.168.yyy.yyy - sieht nach einer privaten IP aus -> wird hier vielleicht an den default transport gesendet oder an eine domain, die einen eigenen transport hat?!

In dem fall muss die policy für das relay eingetragen werden nicht für die domain.
dazu am einfachsten in /etc/pmg/transport die transport zeile für die domain raussuchen, und genau den string den das relay beschreibt in die tls_policy eintragen (inklusive eckigen klammern und port)

Ich hoffe das hilft!
 
Nicht ganz.
Empfänger Seite: Domäne fffff.de Proxmox Server mit TLS deaktiviert.
-> E-Mail Weiterleitung an internen HCL Domino Mail-Server

Sender Seite: Domäne zzzzz.de Proxmox Server mit Destination Policy fffff.de encrypt.
Mail von Sender administrator@zzzzz.de an Empfänger thomas@fffff.de
Diese E-Mail wird über das Internet geroutet.

Mit der Einstellung "Dest.Policy Encrypt" dürfte die Mail dann nicht versendet werden.
 
Dann wäre mal das log von der PMG installation für zzzzz.de interessant, da die ja nicht das tut was erwartet wird
bitte ebenso das output von:
Code:
pmgconfig dump
cat /etc/pmg/transport
cat /etc/pmg/tls_policy
cat /etc/pmg/domains

(in code-tags)
 
Hallo Hier die Dateien vom Sendenden System

Code:
root@mail:~# pmgconfig dump
could not change directory to "/root": Permission denied
composed.wl_bounce_relays = mail.zzzzz.de
dns.domain = zzzzz.de
dns.fqdn = mail.zzzzz.de
dns.hostname = mail
ipconfig.int_ip = 46.x.xxx.xxx
pmg.admin.advfilter = 1
pmg.admin.avast = 0
pmg.admin.clamav = 1
pmg.admin.custom_check = 0
pmg.admin.custom_check_path = /usr/local/bin/pmg-custom-check
pmg.admin.dailyreport = 1
pmg.admin.demo = 0
pmg.admin.dkim_selector =
pmg.admin.dkim_sign = 0
pmg.admin.dkim_sign_all_mail = 0
pmg.admin.email = administrator@zzzzz.de
pmg.admin.http_proxy =
pmg.admin.statlifetime = 32
pmg.clamav.archiveblockencrypted = 0
pmg.clamav.archivemaxfiles = 1000
pmg.clamav.archivemaxrec = 5
pmg.clamav.archivemaxsize = 25000000
pmg.clamav.dbmirror = database.clamav.net
pmg.clamav.maxcccount = 0
pmg.clamav.maxscansize = 100000000
pmg.clamav.safebrowsing = 1
pmg.clamav.scriptedupdates = 0
pmg.mail.banner = ESMTP Zzzzz
pmg.mail.before_queue_filtering = 0
pmg.mail.conn_count_limit = 50
pmg.mail.conn_rate_limit = 0
pmg.mail.dnsbl_sites = sbl.spamhouse.org,ix.dnsbl.manitu.net
pmg.mail.dnsbl_threshold = 2
pmg.mail.dwarning = 4
pmg.mail.ext_port = 25
pmg.mail.greylist = 1
pmg.mail.greylist6 = 0
pmg.mail.greylistmask4 = 24
pmg.mail.greylistmask6 = 64
pmg.mail.helotests = 0
pmg.mail.hide_received = 0
pmg.mail.int_port = 26
pmg.mail.max_filters = 38
pmg.mail.max_policy = 5
pmg.mail.max_smtpd_in = 100
pmg.mail.max_smtpd_out = 100
pmg.mail.maxsize = 104857600
pmg.mail.message_rate_limit = 0
pmg.mail.ndr_on_block = 0
pmg.mail.rejectunknown = 0
pmg.mail.rejectunknownsender = 0
pmg.mail.relay = 46.x.xxx.xxx
pmg.mail.relaynomx = 0
pmg.mail.relayport = 25
pmg.mail.relayprotocol = smtp
pmg.mail.smarthost =
pmg.mail.smarthostport = 25
pmg.mail.spf = 1
pmg.mail.tls = 1
pmg.mail.tlsheader = 1
pmg.mail.tlslog = 1
pmg.mail.verifyreceivers =
pmg.spam.bounce_score = 0
pmg.spam.clamav_heuristic_score = 3
pmg.spam.languages = all
pmg.spam.maxspamsize = 262144
pmg.spam.rbl_checks = 1
pmg.spam.use_awl = 1
pmg.spam.use_bayes = 1
pmg.spam.use_razor = 1
pmg.spam.wl_bounce_relays =
pmg.spamquar.allowhrefs = 1
pmg.spamquar.authmode = ldapticket
pmg.spamquar.hostname =
pmg.spamquar.lifetime = 30
pmg.spamquar.mailfrom = SPAM Mailgateway
pmg.spamquar.port = 8006
pmg.spamquar.protocol = https
pmg.spamquar.reportstyle = custom
pmg.spamquar.viewimages = 1
pmg.virusquar.allowhrefs = 1
pmg.virusquar.lifetime = 30
pmg.virusquar.viewimages = 1
postfix.dnsbl_sites = sbl.spamhouse.org,ix.dnsbl.manitu.net
postfix.dnsbl_threshold = 2
postfix.int_ip = 46.x.xxx.xxx
postfix.mynetworks = 127.0.0.0/8 [::1]/128 46.x.xxx.xxx/27 176.xx.xxx.xxx/32 46.x.xxx.xxx/32 46.x.xxx.xxx/32
postfix.transportnets =
postfix.usepolicy = 1
postgres.version = 11
root@mail:~#

root@mail:~# cat /etc/pmg/transport
root@mail:~# cat /etc/pmg/tls_policy
fffff.de encrypt
root@mail:~# cat /etc/pmg/domains
#Domne Zzzzz
zzzzz.de 1
root@mail:~#
 
sieht eigentlich in ordunung aus.
bitte noch die logs von der betreffenden mail
(sicherheitshalber vl. vorher noch einmal den postfix neu starten)

kommt in '/etc/postfix/main.cf'
die Zeile:
Code:
smtp_tls_policy_maps = hash:/etc/pmg/tls_policy
vor?
und ist die datei /etc/pmg/tls_policy.db vorhanden und neuer als /etc/pmg/tls_policy?
 
Hallo,
die Zeile ist vorhanden.
Ich habe nun das PMG neugestartet, nun kommt im LOG auch
TLS is required, but was not offered by host mail.fffff.de[xxx.xxx.xxx.xxx]

Das scheint nun zu funktionieren.

Aber die Mail liegt nun in der Queue.
Wie lange bis gebounced?
 
Danke für die Info.
Gibt es eine Möglichkeit das eine Mail, die TLS encrypt haben muss sofort zu bouncen?
Dann bekommt der Absender sofort eine Rückmeldung, und muss nicht 5 Tage warten.
 
Gibt es eine Möglichkeit das eine Mail, die TLS encrypt haben muss sofort zu bouncen?
wäre mir auf die schnelle nichts bekannt - vl. lässt sich postfix dazu überreden in gewissen Fällen gleich zu bouncen - allerdings ist das nicht anbieten von STARTTLS durchaus ein Fall für defer (4xx) - da die/der Zielserver ja durchaus innerhalb von einigen Tagen umkonfiguriert werden kann, damit TLS angeboten wird.

in jedem Fall müsste dafür die postfix config über das templateing system angepasst werden:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_template_engine
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!